환자 생명 위협하는 의료용 사물인터넷 기기 해킹...보호 철저해야
NIST는 망분리 특히 강조...병원에서는 도입하기 쉽지 않다는 지적 나와

[보안뉴스 문가용 기자] 의약품 주입 펌프는 말 그대로 환자에게 약을 투여해주는 기계로, 요즘엔 “사물인터넷 장비가 공격을 받을 경우 얼마나 위험해질 수 있는지”를 설명해주는 예시로서 더 많이 활용되는 듯하다. 이런 의학용 사물인터넷 장비를 병원 네트워크에 연결시켜 사용하면 보다 쉽고 원활하게 의료 서비스를 제공해줄 수 있지만 제대로 보호되지 않는다면 오히려 환자의 생명을 위험에 노출시키게 된다.


지난 몇 년 동안 전문가들은 이러한 의약품 주입 펌프들에서 다양한 취약점들을 찾아냈다. 2015년 5월에는 호스피라 라이프케어(Hospira LifeCare) 펌프에서 원격 제어를 가능하게 해주는 취약점이 발견됐고, 2016년 10월에는 아니마스 원터치 핑(Animas OneTouch Ping) 인슐린 펌프에서 취약점들이 쏟아졌다. 2017년 9월에는 스미스 메디컬 메드퓨젼 4000(Smiths Medical Medfusion 4000) 무선 펌프에서 8개의 치명적인 취약점이 나와 패치되기도 했다.

이에 NIST는 ‘SP 1800-8 : 의료 서비스 조직에서 무선 인퓨전 펌프 보호하기(Securing Wireless Infusion Pumps in Healthcare Delivery Organizations)’라는 가이드라인을 발표했다. 이는 일종의 지침서로 보편적인 보안 대책을 알려주고, 또 공유하기 위해 제작됐다. 따라서 여기에 나온 내용이 규정은 아니며, 법적인 권한을 갖지 않는다.

이번 문건의 목적은 단순 엔드포인트 장비 강화가 아니다. 펌프의 생태계 전체에 보안 제어력을 더해 심층적인 방어책을 만들자는 것이다. 즉 펌프만이 아니라 그 펌프가 속한 주변 기기와 네트워크까지도 염두에 둔 가이드라인이다. 이 문건을 통해 NIST는 “궁극적으로 생체의학 전문가와 네트워크 전문가, 사이버 보안 엔지니어, IT 전문가들이 의료용 무선 펌프를 어떤 식으로 안전하게 구성하고 사용할 수 있는지 알려주고자 한다”고 밝히고 있다.

어떻게? 여러 산업에 이미 마련된 표준과 시장에 이미 나온 보안 솔루션과 기술들을 활용하는 것이다. 가이드라인을 통해 NIST는 “OS 더 단단히 보호하기, 네트워크의 분리(망분리), 파일 및 프로그램의 화이트리스팅, 코드 서명, 인증과 암호화 모두에 인증서 사용하기, 무선 펌프의 성능과 사용성 저해 막기” 등을 강조하고 있다.

그중에서도 NIST가 특히 강조하는 건 망분리다. 스위치나 방화벽과 같은 네트워크 장비를 활용해 복잡하고 규모가 큰 네트워크를 작은 단위로 분류해 하나하나를 더 탄탄하게 방어하는 것을 말한다. 이는 한 조직의 사이버 공간 내에서 신뢰의 범위를 줄인다는 뜻이 된다. 한 계정을 가지고 회사 모든 곳을 돌아다닐 수 없게 하고, 분리된 서브 네트워크에 들어갈 때마다 인증 등을 통해 신뢰를 다시 얻어야만 한다.

망분리는 네트워크 내에 침투해 횡적으로 움직이는 공격자들의 활동 반경을 크게 제한시키므로 대단히 중요하고 효과적이다. 망분리를 해두었다면, 공격자들이 아무리 네트워크 내에서 날고 기어도 서브 네트워크 안에서밖에 움직일 수 없게 된다. 다른 네트워크로 가려면 공격을 처음부터 다시 시작해야 한다.

그래서 NIST는 SP1800-8 문건을 통해 VLAN과 정확히 같은 서브넷을 제안하고 있다. “간결성과 편리함을 추구하기 위해 VLAN과 정확히 일치하는 서브넷을 구축했습니다. 각 서브넷마다 라우팅 설정은 동일하지만 방화벽 설정은 서브넷의 목적에 따라 달라지는 것이죠. 외장 라우터 및 방화벽 장비는 기업과 게스트 네트워크를 인터넷에 연결하는 데 사용되고요.” 이렇게 해서 확실히 알려진 사용자와 프로세스만 특정 서브 네트워크에 접속해 장비에 접근할 수 있다는 것이다.

이런 식의 인프라 보호 기술은 퓨전 펌프만이 아니라 다른 의료용 무선 장비를 보호하는 데에도 적용할 수 있다. 그렇기에 보안 전문가들은 이번 NIST 문건에 대체로 호의적인 반응을 보이고 있다. “NIST가 이번에 발표한 문서의 가장 핵심이 되는 내용은 심층적 방어(defense in depth)입니다. 이는 어떤 조직에서나 실천해야 할 것이기도 합니다. 아직까지 많은 사용자 기업들이 방화벽 하나, 백신 하나 정도만으로 보안을 완성했다고 믿고 있는데요, 이번 NIST 가이드라인과 같은 문서들이 자꾸만 나와서 그게 잘못된 믿음이라는 걸 알릴 필요가 있습니다.” 보안 업체 카비린(Cavirin)의 CSO인 조셉 쿠칙(Joseph Kucic)의 설명이다.

또 다른 보안 업체 데미스토(Demisto)의 공동 창립자인 리시 바르가바(Rishi Bhargava)는 “의료 분야 조직들의 보안을 강화하기 위한 첫 걸음으로서는 훌륭하다”고 평한다. “또한 무선 사물인터넷 장비가 산업을 막론하고 늘어나고 있기 때문에 이번 가이드라인의 활용도는 갈수록 높아질 것으로 보입니다.”

물론 부정적인 의견도 있다. 보안 업체 벡트라(Vectra)의 크리스 모랄레스(Chris Morales)는 “생명의 위협으로 이어질 수 있는 의료 분야의 사이버 보안 가이드라인을 NIST가 발표한 것에는 만족하지만 NIST의 사물인터넷 보안 관련 프로젝트의 전체적인 맥락과는 맞지 않는 것 같아 놀랐다”고 말한다. “물론 약품 주입 펌프는 사물인터넷 장비들 중에서도 독특한 존재이지만, 그렇더라도 혼자만 궤를 달리할 정도는 아닙니다. NIST가 사물인터넷 보안을 강화하려면 일관성 있는 지침을 내려야 할 것입니다.”

모랄레스가 지적하는 또 다른 문제는 망분리를 설명하는 영역에 있어 시스코의 솔루션 아키텍처를 기본 바탕으로 삼았다는 부분이다. “망분리 기술을 설명하는 부분은 전혀 새로울 게 없어요. 우리가 다 알고 있는 표준 망분리를 설명해놓은 것뿐이죠. 다만 거기에 굳이 시스코라는 이름을 추가했더라고요. 아마 시스코가 이 문건의 작성에 도움을 준 게 아닐까 싶습니다.”

그리고 문제는 더 있다. “망분리는 병원의 실정에 맞지 않습니다. 의사와 간호사들은 끊임없이 장비에 접근하고 제어해야 합니다. 네트워크를 잠그거나 통제해서는 안 되는 환경인 것입니다. 의사가 환자 기록에 접근하는 데에 불편하거나 오래 걸리게 만드는 것 또한 생명을 위협할 수 있습니다. NIST의 시도 자체는 굉장히 높게 삽니다만, 현실적인 가이드라인을 만들지는 못한 것 간습니다.”

그러면서 모랄레스는 “망분리가 중요한 보안 실천 사항이라는 데는 동의한다”고 말한다. “그러나 병원이라는 환경에서는 기존 기업의 망분리와 좀 다른 모양새를 띄어야 할 것입니다. 그런 고민을 NIST와 보안 업계가 좀 더 깊게 해야 할 듯 합니다.”

3줄 요약
1. 무선 의료 제품 혹은 의료용 사물인터넷 기기들, 해킹 당하면 환자 목숨 위험하게 됨.
2. 그래서 NIST는 의료 장비 보호용 가이드라인 발표. 그러나 무선 사물인터넷 장비 보호에 보편적으로 적용할 수 있는 내용 담김.
3. 일부에서는 ‘병원 네트워크의 망분리는 좀 달라야 한다’는 주장 나옴.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>