2016.08.04

'편리하지만 위험할 수도' 의료 IoT 기기 보안 우려

Thor Olavsrud | CIO
의료 분야에서 IoT의 활약이 기대되지만, 그 전에 해결해야 할 보안 문제가 몇 가지 있다. 의료 IoT 기기 제조사들은 기기의 안전을 위해 좀더 많은 일을 해야 하며 병원 CIO들은 제조사에 보안 강화를 요구해야 한다. 


Credit : GettyImage

의료 업계가 빠른 속도로 사물인터넷(IoT)을 도입하고 있다. 의료에서 커넥티드(Connected) 기기의 가치가 점점 더 뚜렷해 지고 있지만 기기 제조사들과 병원들에는 보안 강화라는 과제가 남아 있다. 

경영 컨설팅 기업 매킨지앤컴퍼니(McKinsey & Company)는 2025년까지 IoT 의료 기기를 통한 원격 모니터링으로 만성 질병 환자의 건강을 개선함으로써 연간 1조 1,000억 달러의 수익이 발생할 것으로 예측했다.

커넥티드 혈당계, 혈압계 등의 기기는 환자의 활력 징후를 자동으로 수집하여 병원의 간호사와 의사가 환자의 요구에 조기에 신속하게 대응할 수 있도록 해준다. 정밀한 용량의 의약품을 제공하는 커넥티드 주입 펌프 등의 기기는 상태 변화에 맞춰 대응할 수 있다. 가정용 의료 기기 덕분에 병원은 환자를 조기에 퇴원시킬 수도 있고 환자의 상태를 계속해서 모니터링할 수 있다.

의료 IoT는 의료 기기 통합에만 국한되지 않는다. 특히 약국 등의 재고 관리에도 한몫할 것이다. 또 작업 흐름 최적화에 매우 큰 영향을 끼칠 것이다. 예를 들어, 손목 밴드와 ID 배지의 RFID 태그는 병원이 시설을 이용하는 사람들의 흐름을 이해하는 데 도움이 될 수 있다.

네트워크, 기기, 서비스 시험 전문 기업 스파이렌트 커뮤니케이션스(Spirent Communications)의 네트워크 보안 전문가 겸 경영 컨설턴트 블라드 고스토멜스키에 따르면, 커넥티드 기기를 사용할 때 의사와 간호사가 환자 정보를 환자 의료 기록에 더 쉽게 입력할 수 있다.

지난해 10월 미국 보건복지부(DHHS)가 미국 의료 제공자에 WHO(World Health Organization)의 의료 분류 목록인 ICD(International Statistical Classification of Diseases and Related Health Problems)의 새롭고 훨씬 자세한 버전인 ICD-10-CM의 사용을 의무화했기 때문에 커넥티드 기기의 의료 정보가 중요해졌다. 새 규정에 따라 의료 전문가는 환자가 다람쥐에게 물렸거나(W53.21XA) 번개를 한 번 맞았거나(T75.01XA) 심지어 두 번 맞았는지(T75.01XD) 알 수 있다.

그 핵심은 연구원들이 트렌드와 발생을 더욱 잘 이해할 수 있는 더욱 세부적인 데이터를 생성하는 것이다. 감염성 질병의 패턴을 이해하려는 과학자나 특정 제품과 관련된 부상 패턴을 찾는 연구원일 수 있다.


누군가가 지켜 보고 있다
이러한 데이터의 용도는 무수히 많다. 하지만 데이터가 매우 민감하며 범죄에 악용될 수도 있다. 주입 펌프, 심장박동 조율기, 임플란트 세동제거기 같은 기기의 경우, 보안 취약성의 결과가 치명적일 수 있다. 다른 데이터는 개인정보 도용이나 협박에도 사용될 수 있다.

고스토멀스키는 "의료 기기 업체들이 가능한 많은 정보를 디지털로 통합하려 하고 있다"면서 "이들 업체에게 보안은 최우선 고민 대상이 아니다. 이들은 일단 제품부터 팔려고 한다"고 우려를 표했다. 

게다가 병원은 보안과 관련된 특수한 문제가 있다.

고스토멀스키는 "병원 네트워크에는 HIPAA 정보와 데이터가 많다"고 말했다. 이어서 "하지만 병원에서는 아무도 사용하지 않을 때 잠글 수 없는 워크스테이션이 많다. 응급 시에 의사 또는 간호사가 비밀번호를 입력하거나 지문을 인식하고 환자에게 필요한 것을 꺼낼 수 있는 크래시 카트(Crash Cart) 등과 연결되어 있다"고 덧붙였다. 

병원의 문제만은 아니다
고스토멀스키는 병원이 더욱 안전한 환경을 위해 더 많은 일을 할 수 있다고 주장했다. 그들은 VLAN을 이용해 네트워크를 격리하고 침입 감지 시스템을 배치할 수 있다. 하지만 기본적으로 그는 이를 정리할 책임이 기기 제조사에 있다고 지적했다.

고스토멀스키는 "병원이 반드시 막대한 IT 예산을 보유할 필요는 없다"고 말했다. 이어서 "병원은 의료 장비 구매, 의사 급여 지급, 최고의 환자 경험 제공에 집중한다. 병원만으로는 이 문제를 해결할 수 없다. 그들은 나중에서야 문제 해결을 시도하게 된다. 실제로 의료 기기를 만드는 기기 제조사가 포괄적인 시험을 시행해야 한다. 더욱 안전한 기기를 만들어야 한다"고 전했다. 

그는 이를 위해 산업 표준 개발이 필요하다고 밝혔다.

"이는 시간문제일 뿐이다"고 그는 말했다. 이어서 "업계 표준이 만들어지지 않으면 FDA가 개입할 것이다. 우리가 스스로 하지 않으면 정부가 표준을 만들 것이고 우리는 결과에 만족하지 못할 수 있다"고 설명했다. 

하지만 병원은 의료 기기 제조사들을 압박하여 표준을 만들고 이 표준을 준수하면 인증하게 할 수 있다.

그는 "병원에는 인증받은 기기가 필요하다"고 강조했다. "수요자, 즉 병원의 요구로 산업이 움직일 것으로 생각한다. 사람들은 이미 의료 기기에 대한 취약성을 보고했으며 심지어 수년이 된 것도 있지만 아직 해결되지 않았다. 기기 보안에 대한 압박을 가하지 않고 있다"고 전했다. 

그가 지적한 예로 수개월 전 실시한 침투 시험이 있다. 그는 필라델피아의 한 병원이 사용하는 의료 기기가 전기 통신이 아닌 산업, 과학, 의료 등의 목적으로 할당된 ISM 대역을 벗어난 무선 주파수로 운영되고 있음을 발견했다.

고스토멀스키는 "그들이 선택한 주파수는 필라델피아 소방서가 사용하는 주파수와 너무 가까웠다"고 이야기했다. 소방서에서 해당 주파수를 사용할 때마다 기기에 혼선이 발생하고 재설정됐으며, 이들은 법률을 위반했고 우수 사례와도 전혀 달랐다.

그에 따르면, 적절한 의사 결정은 구매에서 시작된다. 그는 "해당 기기가 믿을 만한 조직의 보안 시험을 통과했는지 병원 CIO가 업체에 알려달라고 요구해야 한다"고 밝혔다. 

또 그는 병원 CIO가 계약과 관련하여 '당근과 채찍' 접근방식을 취해야 한다고 주장했다. CIO는 제조사에 보안 취약성을 처리하는 방법과 패치 업데이트 정책에 관해 질문해야 한다. CIO는 계약서에 보안 취약성 발견 시 기기에 대한 시의적절한 패치 제공 책임을 명시해야 한다. ciokr@idg.co.kr




2016.08.04

'편리하지만 위험할 수도' 의료 IoT 기기 보안 우려

Thor Olavsrud | CIO
의료 분야에서 IoT의 활약이 기대되지만, 그 전에 해결해야 할 보안 문제가 몇 가지 있다. 의료 IoT 기기 제조사들은 기기의 안전을 위해 좀더 많은 일을 해야 하며 병원 CIO들은 제조사에 보안 강화를 요구해야 한다. 


Credit : GettyImage

의료 업계가 빠른 속도로 사물인터넷(IoT)을 도입하고 있다. 의료에서 커넥티드(Connected) 기기의 가치가 점점 더 뚜렷해 지고 있지만 기기 제조사들과 병원들에는 보안 강화라는 과제가 남아 있다. 

경영 컨설팅 기업 매킨지앤컴퍼니(McKinsey & Company)는 2025년까지 IoT 의료 기기를 통한 원격 모니터링으로 만성 질병 환자의 건강을 개선함으로써 연간 1조 1,000억 달러의 수익이 발생할 것으로 예측했다.

커넥티드 혈당계, 혈압계 등의 기기는 환자의 활력 징후를 자동으로 수집하여 병원의 간호사와 의사가 환자의 요구에 조기에 신속하게 대응할 수 있도록 해준다. 정밀한 용량의 의약품을 제공하는 커넥티드 주입 펌프 등의 기기는 상태 변화에 맞춰 대응할 수 있다. 가정용 의료 기기 덕분에 병원은 환자를 조기에 퇴원시킬 수도 있고 환자의 상태를 계속해서 모니터링할 수 있다.

의료 IoT는 의료 기기 통합에만 국한되지 않는다. 특히 약국 등의 재고 관리에도 한몫할 것이다. 또 작업 흐름 최적화에 매우 큰 영향을 끼칠 것이다. 예를 들어, 손목 밴드와 ID 배지의 RFID 태그는 병원이 시설을 이용하는 사람들의 흐름을 이해하는 데 도움이 될 수 있다.

네트워크, 기기, 서비스 시험 전문 기업 스파이렌트 커뮤니케이션스(Spirent Communications)의 네트워크 보안 전문가 겸 경영 컨설턴트 블라드 고스토멜스키에 따르면, 커넥티드 기기를 사용할 때 의사와 간호사가 환자 정보를 환자 의료 기록에 더 쉽게 입력할 수 있다.

지난해 10월 미국 보건복지부(DHHS)가 미국 의료 제공자에 WHO(World Health Organization)의 의료 분류 목록인 ICD(International Statistical Classification of Diseases and Related Health Problems)의 새롭고 훨씬 자세한 버전인 ICD-10-CM의 사용을 의무화했기 때문에 커넥티드 기기의 의료 정보가 중요해졌다. 새 규정에 따라 의료 전문가는 환자가 다람쥐에게 물렸거나(W53.21XA) 번개를 한 번 맞았거나(T75.01XA) 심지어 두 번 맞았는지(T75.01XD) 알 수 있다.

그 핵심은 연구원들이 트렌드와 발생을 더욱 잘 이해할 수 있는 더욱 세부적인 데이터를 생성하는 것이다. 감염성 질병의 패턴을 이해하려는 과학자나 특정 제품과 관련된 부상 패턴을 찾는 연구원일 수 있다.


누군가가 지켜 보고 있다
이러한 데이터의 용도는 무수히 많다. 하지만 데이터가 매우 민감하며 범죄에 악용될 수도 있다. 주입 펌프, 심장박동 조율기, 임플란트 세동제거기 같은 기기의 경우, 보안 취약성의 결과가 치명적일 수 있다. 다른 데이터는 개인정보 도용이나 협박에도 사용될 수 있다.

고스토멀스키는 "의료 기기 업체들이 가능한 많은 정보를 디지털로 통합하려 하고 있다"면서 "이들 업체에게 보안은 최우선 고민 대상이 아니다. 이들은 일단 제품부터 팔려고 한다"고 우려를 표했다. 

게다가 병원은 보안과 관련된 특수한 문제가 있다.

고스토멀스키는 "병원 네트워크에는 HIPAA 정보와 데이터가 많다"고 말했다. 이어서 "하지만 병원에서는 아무도 사용하지 않을 때 잠글 수 없는 워크스테이션이 많다. 응급 시에 의사 또는 간호사가 비밀번호를 입력하거나 지문을 인식하고 환자에게 필요한 것을 꺼낼 수 있는 크래시 카트(Crash Cart) 등과 연결되어 있다"고 덧붙였다. 

병원의 문제만은 아니다
고스토멀스키는 병원이 더욱 안전한 환경을 위해 더 많은 일을 할 수 있다고 주장했다. 그들은 VLAN을 이용해 네트워크를 격리하고 침입 감지 시스템을 배치할 수 있다. 하지만 기본적으로 그는 이를 정리할 책임이 기기 제조사에 있다고 지적했다.

고스토멀스키는 "병원이 반드시 막대한 IT 예산을 보유할 필요는 없다"고 말했다. 이어서 "병원은 의료 장비 구매, 의사 급여 지급, 최고의 환자 경험 제공에 집중한다. 병원만으로는 이 문제를 해결할 수 없다. 그들은 나중에서야 문제 해결을 시도하게 된다. 실제로 의료 기기를 만드는 기기 제조사가 포괄적인 시험을 시행해야 한다. 더욱 안전한 기기를 만들어야 한다"고 전했다. 

그는 이를 위해 산업 표준 개발이 필요하다고 밝혔다.

"이는 시간문제일 뿐이다"고 그는 말했다. 이어서 "업계 표준이 만들어지지 않으면 FDA가 개입할 것이다. 우리가 스스로 하지 않으면 정부가 표준을 만들 것이고 우리는 결과에 만족하지 못할 수 있다"고 설명했다. 

하지만 병원은 의료 기기 제조사들을 압박하여 표준을 만들고 이 표준을 준수하면 인증하게 할 수 있다.

그는 "병원에는 인증받은 기기가 필요하다"고 강조했다. "수요자, 즉 병원의 요구로 산업이 움직일 것으로 생각한다. 사람들은 이미 의료 기기에 대한 취약성을 보고했으며 심지어 수년이 된 것도 있지만 아직 해결되지 않았다. 기기 보안에 대한 압박을 가하지 않고 있다"고 전했다. 

그가 지적한 예로 수개월 전 실시한 침투 시험이 있다. 그는 필라델피아의 한 병원이 사용하는 의료 기기가 전기 통신이 아닌 산업, 과학, 의료 등의 목적으로 할당된 ISM 대역을 벗어난 무선 주파수로 운영되고 있음을 발견했다.

고스토멀스키는 "그들이 선택한 주파수는 필라델피아 소방서가 사용하는 주파수와 너무 가까웠다"고 이야기했다. 소방서에서 해당 주파수를 사용할 때마다 기기에 혼선이 발생하고 재설정됐으며, 이들은 법률을 위반했고 우수 사례와도 전혀 달랐다.

그에 따르면, 적절한 의사 결정은 구매에서 시작된다. 그는 "해당 기기가 믿을 만한 조직의 보안 시험을 통과했는지 병원 CIO가 업체에 알려달라고 요구해야 한다"고 밝혔다. 

또 그는 병원 CIO가 계약과 관련하여 '당근과 채찍' 접근방식을 취해야 한다고 주장했다. CIO는 제조사에 보안 취약성을 처리하는 방법과 패치 업데이트 정책에 관해 질문해야 한다. CIO는 계약서에 보안 취약성 발견 시 기기에 대한 시의적절한 패치 제공 책임을 명시해야 한다. ciokr@idg.co.kr


X