• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안위협 정보공유 ISAC, 의료 분야가 가장 시급한 이유 2016.09.11

사이버 위협 대응 정보제공 및 사고발생 시 경보·분석체계 운영

[보안뉴스 김태형] 보건의료 패러다임이 치료와 진단 중심에서 정밀의료와 예측의료 분야로 변화·발전하면서 이제는 개인 삶의 안정성을 기반으로 신체적·정신적으로 건강한 상태를 유지하고자 하는 ‘웰니스(Wellness)’를 추구하고 있다.


이와 같은 환경에서 의료정보는 최근 가장 핫한 아이템이자 이슈가 되고 있다. 이에 따라 생체정보와 같은 민감한 정보가 대다수인 의료정보를 노리는 사이버 공격과 위협도 갈수록 높아지고 있다. 특히, 네트워크 구간에서 암호화 통신을 하는 프로그램인 Open SSL(Open Secure Socket Layer) 취약점을 악용한 지능적인 악성코드, 랜섬웨어 공격이 증가하고 있으며, 스마트 홈·의료 등 IoT 서비스와 ICT 물리 시스템이 융·복합되는 사이버물리시스템(CPS: Cyber-Physical Systems)에 대한 보안위협이 높아지고 있다.

한 예로 사물인터넷 환경에서 인슐린 펌프, 이식형 제세동기와 같은 수십종의 의료기기에서 생명을 위협할 수 있는 심각한 취약점이 발견되기도 했다. 이러한 사이버물리 시스템은 임베디드 센서와 소프트웨어를 포함한 전산 프로세스와 물리적 구성요소가 통합되고 상호 작용하는 스마트 시스템으로 최근 IoT와 CPS가 확산되면서 이와 관련한 보안 위협도 빠르게 확대되고 있다.

특히, 혈압이나 당뇨 등 개인건강 체크 솔루션, U-헬스, 생체신호 모니터링, 노약자 및 장애인 지원, 원격의료 등 의료기기와 원격진료에 대한 보안위협은 갈수록 고조되고 있는 상황이다. 실제로 RSA 컨퍼런스에서는 인슐린 펌프에 대한 원격 공격이 가능하다는 게 공개되기도 했다.

▲ 보건복지분야 ISAC 추진 체계(출처: KISA, 정보통신기반보호 가이드-2016)


하지만 의료분야 보안위협 대응은 아직 부족한 상황이다. 이에 정부는 현재 삼성서울병원 등 8개 기관에 대해 국가 주요정보통신기반시설 지정을 확대하는 등 민간 종합병원 43개 기관으로 점진적으로 확대해 나감으로써 민간 주요시설에 대한 사이버 보안을 강화할 방침이다.

아울러 민간 ISAC(정보공유분석센터: Information Sharing & Analysis Center) 설치를 의료, 교육, 에너지 등의 분야로 확대할 예정이다. 특히, 보건복지분야 ISAC 설치를 위해 부처 간의 협의와 예산과 인력 확보, 그리고 의료기관들의 적극적인 협력체계를 구축하고 있다.

이와 같은 ISAC은 현재 통신, 금융, 증권, 지자체 4개 분야에만 설치·운영되고 있다. 이에 정부는 오는 2017년까지 에너지, 의료, 교육 분야에도 ISAC을 구축한다는 방침이다. 정보통신기반시설 지정 및 ISAC의 설치는 관계 중앙행정기관인 보건복지부의 전향적인 정책의지가 가장 중요하다. 이와 관련 보건복지부도 ISAC 설치에 적극 나서고 있어 하반기부터 관련 사항에 대해 중점적으로 협의해 나갈 계획이다.

이렇게 되면 의료기관은 ISMS 인증 등 정보보호 체계의 개선으로 연간 70.5억원의 보안사고 피해비용을 절감하고 업무처리 시간 단축으로 연간 18억원의 업무 효율성을 높일 수 있을 것으로 기대하고 있다.

특히, 국가 전반의 주요기반시설 정보보안 수준이 향상되고 상시 보안관제 활동으로 사이버 위협에 대비가 가능하다. 또한, 침해사고 발생 시 전문가 지원으로 재발을 방지할 수 있으며 최신 정보보안 기술 및 정보공유가 가능해진다. 이렇게 되면 궁극적으로 의료기관은 안전하고 신뢰할 수 있는 의료서비스를 제공할 수 있게 된다.

▲ 보건복지 분야 사이버보안 대응 체계


한편, 미국의 자동차 산업의 정보공유 및 분석 센터인 ‘Auto-ISAC’은 최근 여러 사이버 보안 공격으로 인한 소비자의 신뢰를 회복하기 위한 노력의 일환으로 사이버 보안을 위한 실천 사항을 발간했다. 약 50여명의 보안 전문가들이 5개월에 걸쳐 진행한 이 실천사항에는 스마트카를 제조할 계획을 가지고 있는 자동차 제조사들을 넘어 자동차 산업 전체가 앞으로 가져가야할 필수적인 보안 지식 및 행동 사항들을 소개하고 있다.

앞서의 사례처럼 보건복지분야 ISAC을 통해 민간 의료기관에게 개인정보보호 및 의료정보보호 가이드라인을 배포하고 법적 규제를 준수하도록 지도할 수 있다. 또한, 의료기관에 대한 해킹이나 악성코드 등과 같은 사이버 위협에 효과적으로 대응할 수 있게 취약점 및 침해요인과 대응방안에 관한 정보를 제공할 수 있다. 이와 함께 침해사고가 발생하는 경우 실시간 경보·분석체계 운영으로 효과적인 대응을 지원하게 된다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>