패치도 어렵고, 수량 파악도 어려운 사물인터넷 의료 기기
오래된 소프트웨어도 잔뜩...최신 기기들은 ‘사용자 책임’ 늘리는 추세

[보안뉴스 문가용 기자] 사물인터넷 의료 기기 생산자들, 의료보험 관련 조직들, 정책 기관, 사용자의 1/3이 사이버 보안 문제를 가장 큰 걱정거리로 꼽았다. 리서치 업체인 딜로이트(Deloitte)가 370명의 사물인터넷 의료 기기 전문가들을 대상으로 조사한 결과다. 또한 조사 참여자의 35.6%가 사이버 보안 문제를 지난 1년 새에 한 번 이상 겪었다고 답하기도 했다. 하지만 정확한 공격 횟수나 빈도는 이번 조사에 첨부되지 않았다.


이번 조사는 지난 5월에 진행된 것으로, 워너크라이 사태가 발생하고 나서 2주가 막 지난 시점이었다. “워너크라이 사태는 빙산의 일각일 뿐이었습니다. 앞으로도 IoT 의료 기기들을 위협하는 공격들은 계속해서 나타날 것입니다.” 딜로이트의 리스크 관리 담당인 러셀 존스(Russell Jones)의 설명이다. “하지만 누군가 목숨을 잃는 사고가 발생하기 전까지 사물인터넷 의료 기기 제조사나 관리자들이 보안을 1순위로 여기지는 않을 것 같습니다.”

지금의 열악한 보안 상황이 개선되지 않을 것이라고 보이는 가장 큰 이유 중 하나는 실제 현장에서 어떤 기기가 네트워크에 연결되어 있는지 아닌지 계수하기가 힘들다는 것이다. “파악된 기기들도 잘 보호하지 않는데, 파악되지도 않는 기기들을 보호할 리가 없죠. 치밀하게 계수하지도 않고 있는 게 현실이고요. 결국 자산 관리 차원에서부터 일이 잘 이루어지고 있지 않다는 게 가장 큰 문제입니다.”

이미 가지고 있는 자산에 대한 파악을 하지 못한다는 건 결국 가시성에 결함이 생긴다는 뜻이다. 이 상태에서 최신 장비는 자꾸만 들어오고, 옛 장비는 어느 덧 ‘취약해진’ 상태로 변질된다. 문제가 눈 덩이처럼 급하게 불어나고 있다는 것이다. 캘리포니아대학의 정보보안 책임자인 패트릭 펠란(Patrick Phelan) 역시 “의료 현장에서 사물인터넷 기기를 일일이 파악하고 정리해놓는다는 것이 말처럼 쉬운 일이 아니”라며 이 부분이 문제의 근원이라는 걸 인정하고 있다.

“병원에서 사용하고 있는 사물인터넷 의료 기기들은 정말 어마어마하게 많습니다. 추적해서 재고 파악을 하는 게 가능할까 싶을 정도의 양입니다. 게다가 이 기기들이 한 자리에 고정된 채로 사용되는 것도 아닙니다. 계속해서 돌아다니죠. 1분 전에는 이 포트에서 발견된 기기가 바로 다음 순간에는 또 다른 포트를 통해 연결되는 등 기술적으로 혹은 자동화를 통해 파악하는 것도 쉽지 않습니다.” 펠란의 설명이다.

예를 들어 약 1000개 병상 규모를 자랑하는 캘리포니아대학병원의 경우 작년 한 해 동안 4만 3천여 건의 입원 처리를 진행했고, 1백 2십만 건의 왕진을 수행했다. 이 한 건 한 건마다 사물인터넷 기기들이 중복 사용된다. 펠란은 “그래도 캘리포니아대학병원은 팀을 따로 구성해 사물인터넷 자산을 파악하고 항목화하는 데에 힘을 쓴 편이었습니다. 그러면서 병원에 존재한 위험요소들도 파악했고요. 그리고 결국엔 모든 기기들에 대한 가시성을 확보하는 데 성공했습니다.”

펠란은 “그런 후 캘리포니아대학병원은 네트워크 세그멘테이션을 위한 절차를 밟고 있다”고 설명한다. “진료를 위한 네트워크와 행정을 위한 네트워크를 분리하는 것이 현재 IT 팀의 가장 큰 프로젝트입니다.” 그러면서 네트워크 세그멘테이션의 가장 큰 어려움은 “휴대용 기기들”이라고 말한다.

“휴대용 기기 제조사들은 패치를 그리 빨리 하지 않는 경향이 있습니다. 또한 생산과 개발에 치우쳐져 있어 보안의 기본적인 사항이 무시되기도 하고요. 휴대용 의료 기기들을 새로 구입했을 때 윈도우 XP가 설치되어 있는 걸 흔히 발견하곤 합니다. 그것뿐만이 아니죠. 출처를 알 수 없는 프로토콜이 있을 때도 많고, 대단히 간단한 비밀번호가 설정된 경우도 많습니다. 의료 기기들은 수명이 긴 편인데, 시작부터 이렇게 기본적인 것이 틀려버리면 나중에 어떤 일이라도 벌어질 수 있습니다.”

의료 기기들은 항상 사용 중에 있고, 심지어 환자의 몸에 심겨져 있을 수도 있어 패치가 가능하지 않기 때문에 이렇게 불완전한 소프트웨어가 설치되어 있는 게 특히나 치명적일 수 있다. 존스는 “결국 해당 기기들을 파악해놓고, 가시성을 확보해놓은 다음, 그 기기에 대한 사용 패턴을 모니터링해서 수상한 점을 찾아내는 것이 현장에서는 최고의 방법”이라고 설명한다. “하지만 모니터링만 주구장창 해서는 실제 사건이 일어났을 때 큰 도움이 되지 않습니다. 훈련도 병행해야 할 것입니다.”

의료기기들의 사이버 보안 문제가 점점 ‘구매자의 책임’으로 넘어온다는 것도 병원들이 기억해야 할 것이라고 존스는 지적한다. “사물인터넷 기기 제조업체가 윈도우 XP를 설치하고, 비밀번호를 1234로 설정하는 건 분명히 그들의 책임이었습니다. 하지만 최근에 나오는 기기들은 보안의 기본은 잘 지키고 있어요. 보안에 대한 여러 옵션과 기능들을 갖추고 있기 때문에 이제 쓰는 사람이 잘 써야 하는 때가 됐습니다. 그러니 더더욱 자산 관리 측면에서 조직 내 존재하는 모든 사물인터넷 기기들을 파악하는 게 중요한 일이 됐습니다.”

결국 오래된 기기와 새로운 기기가 혼재해 있고, 한동안 이 상태가 유지될 것이 확실해 보이는 현 상황에서 의료 기기의 안전을 위해 관련자 누구나 동참해야 한다는 것이 존스의 결론이다. “생산자나 의료 보험 업체나 정책 기관과 각 병원이 다 보안을 심각하게 생각해야만 합니다. 기기 생산자는 최근의 기기들처럼 각종 보안 관련 기능을 삽입하고, 지속적인 패치나 지원을 보장해줘야 합니다. 또한 의료 보험 업체나 병원은 현장에서의 피드백을 생산자와 정책 기관에 제공해야 합니다. 정책 기관은 안전이라는 가치관을 유지하면서 환자는 물론 의료 업계라는 생태계 모든 이가 보호받을 수 있도록 해줘야 하고요.”

지난 12월 미국 식약청은 의료 기기에 관한 사이버 보안 가이드라인을 발표한 바 있다. 식약청의 기기 및 방사선 건강 센터(Center for Devices and Radiological Health)에서 근무하고 있는 수잔 슈와츠(Suzanne Schwartz)는 “우리와 같은 기관의 역할은 커뮤니티 전체에 같은 비전을 제시하는 것이라고 생각한다”며 “식약청은 사이버 보안이라는 공통의 문제에 대한 올바른 해결법을 제시하고자 오랜 시간 노력해왔고, 이를 업계에 알리게 되었다”고 당시 발표했었다.

이 때문인지 최근 많은 사물인터넷 의료 기기 제조사들이 식약청을 찾아와 제작 전 미팅을 요청한다고 한다. “사이버 보안의 관점에서 자신들이 제조하려는 기기를 검토해달라는 것인데요, 이런 업체들이 점점 늘어나고 있습니다. 물론 아직도 현저히 부족한 게 사실이지만, 계속 증가추이만 유지해도 좋겠죠. 국가 기관이라고 피하지만 말고 저희를 적극 이용해보시길 권장합니다.”

하지만 이런 식약청에 대해 펠란은 “(식약청은)아직 ‘강력한 필수사항’을 도입하고 있지 않다”며 “권고 사항에만 그치는 소통은 결국 아무런 성과도 얻지 못할 것”이라고 말한다. “그들의 노력 자체를 폄하하고 싶은 건 아닙니다. 하지만 보안은 좀 더 엄격해질 필요도 있어요. 아무리 안전이 중요해도, 결국 안전을 강화하라는 건 잔소리요 귀찮은 것이기 때문에 무시될 수밖에 없거든요. 좀 더 강력한 법을 마련해도 되지 않을까 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>