2018.12.13

의료기기의 IoT 보안, 누가 책임져야 할까

Cynthia Brumfield | CSO
전 세계 곳곳에 퍼져 있는 수십억 대의 IoT 기기를 안전하게 보호하는 과제는 여전히 사이버보안이 넘어야 할 큰 산이다. 상호 연결된 IoT 기기는 공격의 여파를 일파만파로 퍼뜨릴 수 있다는 점에서 매우 위험하다. 시만텍 통계 자료를 보면, 인터넷에 연결된 카메라, 가전기기, 자동차, 의료기기를 이용한 공격과 네트워크 침입 건수는 2016~2017년 사이 무려 600%나 증가하였다.
Credit: GettyImgase

시만텍 글로벌 정부기관 수석 전략 담당 켄 더빈은 NICST의 사이버보안 리스크 관리 컨퍼런스에서 “16~17년은 사이버공격에 있어서는 무척 중요한 해였다”라고 말했다. 이날 패널의 주요 논의 대상은 IoT 보안의 주요 책임자가 누구인가였다. IoT 리스크가 갖는 성격 자체가 책임자를 결정하기 어려운 측면이 있기 때문이다. 

IoT 보안 과제
IoT 기기를 이용한 공격을 싹부터 잘라내기 어려운 이유는, IoT 기기가 아무런 보호도 받지 못한 채 취약한 상태로 남아 있는 ‘소프트 타깃’이기 때문이다. 대부분 IoT 기기들은 취약점을 보완하는 패치를 받을 수 없는 상태라고 더빈은 지적했다. 

MIT 슬로언 경영대학원 리서치 관계자 겸 사이버세인트 시큐리티(CyberSaint Security) CEO인 조지 렌에 따르면, 지금까지 일어난 대부분의 IoT 공격들은 제대로 된 보호장치조차 없는 ‘1세대’ 아날로그 기기들을 대상으로 한 것이었다. 

IoT 보안을 둘러싼 문제는 매우 다차원적이다. 렌은 “대부분의 디바이스들은 네트워크 기능이 있다. 네트워크 보안과 클라우드 부분도 있다. 이러한 환경에 주목하고 네트워크 보안이 잘 되고 있는가를 자문해야 한다. 그리고 라우터의 문제도 생각해야 한다. 이제 네트워크는 전 세계적으로 배포되어 있기 때문에 네트워크의 문제는 곧 전 세계적 문제가 된다. 이제는 프론트 도어를 일본에서 통제할 수도 있다. 그리고 프라이버시에 대한 영향력을 행사할 수 있다”고 말했다. 

보안 논쟁의 격전지로 떠오른 의료 업계
진짜 문제는 이것이다. IoT 보안의 책임은 사용자에게 있는가, 아니면 제조사에 있는가? 일반적으로, 사용자들은 전자기기를 임의로 고치거나 개조할 수 없다. 그랬다가는 워런티가 무효가 되기 때문이다. 렌은 “기기를 안전하게 만드는 것은 제조사들의 책임이다. 제조사들이 이 책임을 다하지 않는다면 머지않아 전 세계 각국의 법무부, 정부기관들이 이를 강제하는 모습을 보게 될 것이다”고 언급했다. 

NIST 사이버보안 프레임워크 프로그램의 매니저 매트 버렛은 의료계와 기기 제조사 간에도 누가 IoT 보안에 대한 책임을 질 것이냐를 놓고 힘겨루기가 이루어지고 있다고 지적했다. 버렛은 인터뷰에서 “이러한 논의에서 가장 중요한 것은 시판 전, 후의 책임과 해결된 문제, 해결돼야 할 문제에 대한 분명한 소통과 합의라고 생각한다”고 강조했다. 

IoT 사이버보안과 관련한 책임 소재 공방 중에서도 IoT 의료기기 분야는 가장 많은 우려와 논쟁이 오가는 격전지가 되고 있다. 생명과학 컨설팅 업체 QDS 대표 아르민 토레스는 의료기기 보안 패널 회의 중에 “보안 책임에 있어 어디에 선을 그어야 할 것인가? 내 생각에 이러한 책임은 기기 제조사들부터 시작한다”고 자신의 생각을 밝혔다. 

토레스는 “의료기기가 하루아침에 바뀌지 않는다. 이들은 점진적으로 진화해 나간다. 일단 출시되고 나면, 나중에 가서 다시 암호화 기능을 더하겠다고 나설 수 없다. 때로는 운영 체제를 바꿔야 하거나, FDA 승인을 다시 받아야 해서 암호화 기능을 추가할 수 없기도 하다”고 설명했다. 

인트라프라이즈 헬스(Intraprise Health)의 대표이자 사장인 마크 페라리는 책임 공유를 주장했다. 인터넷에 연결된 의료기기들은 의료서비스 제공자의 네트워크에도 연결되기 때문이다. “의료업계와 제조사 간 책임 공유가 필요하다. 의료서비스 제공기관들은 모든 것을 제조사에 일임하려 해서는 안 된다. 의료 서비스 네트워크에서 발생하는 일은 모두 해당 서비스를 제공하는 기관의 책임이다.”
 
의료기기 보안 문제 놓고 논쟁중인 의료 산업
이처럼 의료 산업에서는 아직도 의료기기 보안 관리를 어떻게 할 것인가를 놓고 완전한 합의가 이루어지지 않은 모습이다. “수년 넘게 의료기기 산업에서는 기기의 안전성을 책임져 왔다. 오늘날 안전과 보안은 뗄래야 뗄 수 없는 관계가 되고 말았다. 하지만 안전과 보안의 이러한 결합은 지금까지는 순탄치 않았다”고 토레스는 말했다. 

그렇다면 IoT 기기 공격으로 실제로 피해를 본 환자도 존재할까? 메드크립트(MedCrypt)의 마이크 카이주스키는 “실제로 환자가 영향을 받은 사례가 있냐는 질문에 대한 공식적인 답변은 ‘그런 사례는 없다’가 될 것”이라고 밝혔다. 그렇지만 포네몬 인스티튜트가 실시한 설문조사를 보면 응답자의 33%는 IoT 기기로 인한 부정적 경험을 한 적 있는 것으로 나타났다. 

의료기기 보안사고로 인해 손해나 피해를 본 적이 있느냐는 질문을 던진 또 다른 설문조사에서는 미국 외 국가에 거주하는 한 응답자가 ‘그런 적이 있다’고 답했으며 이러한 사고로 인해 100에서 1,000명 사이의 환자들이 피해를 보았다고 설명했다. 

의료기기 해킹으로 인한 피해 상황이나 사고 사례를 파악하기가 어려운 이유에 관해 토레스는 “오늘날 대부분 기기 제조사들이 의료기기에 이상 행동을 탐지하는 기능을 내장하지 않고 있기 때문이다. 따라서 문제가 발생해도 이를 탐지해내는 경우는 잘 없다. 의료기기 해킹으로 인한 피해 사례가 잘 보고되지 않는 것은 설령 해킹이 발생하더라도 의료기기에 이를 탐지하고 알리는 기능이 없기 때문”이라고 지적했다. 이어서 그는 “오늘날 IoT 의료기기들의 위협 탐지 메커니즘에 대한 우리의 신뢰도는 매우 낮은 편이다”라고 덧붙였다. 

페라리는 “우리도 심박조율기 해킹의 주된 문제가 무엇인지 알고 있고… 워너크라이 악성코드가 의료기기에 침입하여 작동을 방해한다는 사실도 알고 있다”고 덧붙였다. 

FDA도 지난 10월 의료기기 제작 및 라벨링 사이버보안 권고 가이드 초안을 내놓으며 의료기기 보안 논쟁에 뛰어들었다. 이 초안에는 사이버보안 위험이 있는 의료기기의 시판 전 제출 때 포함되어야 할 문서들도 일일이 나열되어 있다. 또한 FDA는 MITRE 코퍼레이션(MITRE Corporation)의 의료기기 사이버보안 지역 사건, 사고 준비 및 대응 플레이북 개발을 비롯하여 이 분야의 여러 활동을 지원하고 있다. 

(NIST는 NIST SP 1800-8 ‘무선 인퓨전 펌프 보안’ 에서 IoT 사이버보안 어드바이스를 제공하고 있다.) 

토레스는 “무엇보다도 사이버보안 물자표(Bill of Material)를 추가하는 것이 플레이 북에 많은 도움이 될 것이다. 의료기기 보안에 어떤 하드웨어 및 소프트웨어가 사용되는지 알고 있을 필요가 있다. 특히 소프트웨어의 경우 문제가 복잡하다. 출처 불명의 소프트웨어가 다른 소프트웨어들과 함께 섞여들 수 있기 때문이다”라고 설명했다. 

의료기기 보안과 관련한 정부 가이드나 규제를 마련하기 역시 쉽지 않다. 메드크립트의 카이주스키는 기기 제조사들이 “정부 기관과의 대화를 강력히 거부하고 있기 때문”이라고 지적했다. 결국 이 문제의 해결은 돈에 달렸을지도 모른다. “결국 중요한 것은, 요점이라 할 수 있는 것은 보안이 기기 제조사들의 수익에 플러스 요인이 될 수 있는가, 비즈니스 동인이 될 수 있는가다”고 그는 덧붙였다. ciokr@idg.co.kr



2018.12.13

의료기기의 IoT 보안, 누가 책임져야 할까

Cynthia Brumfield | CSO
전 세계 곳곳에 퍼져 있는 수십억 대의 IoT 기기를 안전하게 보호하는 과제는 여전히 사이버보안이 넘어야 할 큰 산이다. 상호 연결된 IoT 기기는 공격의 여파를 일파만파로 퍼뜨릴 수 있다는 점에서 매우 위험하다. 시만텍 통계 자료를 보면, 인터넷에 연결된 카메라, 가전기기, 자동차, 의료기기를 이용한 공격과 네트워크 침입 건수는 2016~2017년 사이 무려 600%나 증가하였다.
Credit: GettyImgase

시만텍 글로벌 정부기관 수석 전략 담당 켄 더빈은 NICST의 사이버보안 리스크 관리 컨퍼런스에서 “16~17년은 사이버공격에 있어서는 무척 중요한 해였다”라고 말했다. 이날 패널의 주요 논의 대상은 IoT 보안의 주요 책임자가 누구인가였다. IoT 리스크가 갖는 성격 자체가 책임자를 결정하기 어려운 측면이 있기 때문이다. 

IoT 보안 과제
IoT 기기를 이용한 공격을 싹부터 잘라내기 어려운 이유는, IoT 기기가 아무런 보호도 받지 못한 채 취약한 상태로 남아 있는 ‘소프트 타깃’이기 때문이다. 대부분 IoT 기기들은 취약점을 보완하는 패치를 받을 수 없는 상태라고 더빈은 지적했다. 

MIT 슬로언 경영대학원 리서치 관계자 겸 사이버세인트 시큐리티(CyberSaint Security) CEO인 조지 렌에 따르면, 지금까지 일어난 대부분의 IoT 공격들은 제대로 된 보호장치조차 없는 ‘1세대’ 아날로그 기기들을 대상으로 한 것이었다. 

IoT 보안을 둘러싼 문제는 매우 다차원적이다. 렌은 “대부분의 디바이스들은 네트워크 기능이 있다. 네트워크 보안과 클라우드 부분도 있다. 이러한 환경에 주목하고 네트워크 보안이 잘 되고 있는가를 자문해야 한다. 그리고 라우터의 문제도 생각해야 한다. 이제 네트워크는 전 세계적으로 배포되어 있기 때문에 네트워크의 문제는 곧 전 세계적 문제가 된다. 이제는 프론트 도어를 일본에서 통제할 수도 있다. 그리고 프라이버시에 대한 영향력을 행사할 수 있다”고 말했다. 

보안 논쟁의 격전지로 떠오른 의료 업계
진짜 문제는 이것이다. IoT 보안의 책임은 사용자에게 있는가, 아니면 제조사에 있는가? 일반적으로, 사용자들은 전자기기를 임의로 고치거나 개조할 수 없다. 그랬다가는 워런티가 무효가 되기 때문이다. 렌은 “기기를 안전하게 만드는 것은 제조사들의 책임이다. 제조사들이 이 책임을 다하지 않는다면 머지않아 전 세계 각국의 법무부, 정부기관들이 이를 강제하는 모습을 보게 될 것이다”고 언급했다. 

NIST 사이버보안 프레임워크 프로그램의 매니저 매트 버렛은 의료계와 기기 제조사 간에도 누가 IoT 보안에 대한 책임을 질 것이냐를 놓고 힘겨루기가 이루어지고 있다고 지적했다. 버렛은 인터뷰에서 “이러한 논의에서 가장 중요한 것은 시판 전, 후의 책임과 해결된 문제, 해결돼야 할 문제에 대한 분명한 소통과 합의라고 생각한다”고 강조했다. 

IoT 사이버보안과 관련한 책임 소재 공방 중에서도 IoT 의료기기 분야는 가장 많은 우려와 논쟁이 오가는 격전지가 되고 있다. 생명과학 컨설팅 업체 QDS 대표 아르민 토레스는 의료기기 보안 패널 회의 중에 “보안 책임에 있어 어디에 선을 그어야 할 것인가? 내 생각에 이러한 책임은 기기 제조사들부터 시작한다”고 자신의 생각을 밝혔다. 

토레스는 “의료기기가 하루아침에 바뀌지 않는다. 이들은 점진적으로 진화해 나간다. 일단 출시되고 나면, 나중에 가서 다시 암호화 기능을 더하겠다고 나설 수 없다. 때로는 운영 체제를 바꿔야 하거나, FDA 승인을 다시 받아야 해서 암호화 기능을 추가할 수 없기도 하다”고 설명했다. 

인트라프라이즈 헬스(Intraprise Health)의 대표이자 사장인 마크 페라리는 책임 공유를 주장했다. 인터넷에 연결된 의료기기들은 의료서비스 제공자의 네트워크에도 연결되기 때문이다. “의료업계와 제조사 간 책임 공유가 필요하다. 의료서비스 제공기관들은 모든 것을 제조사에 일임하려 해서는 안 된다. 의료 서비스 네트워크에서 발생하는 일은 모두 해당 서비스를 제공하는 기관의 책임이다.”
 
의료기기 보안 문제 놓고 논쟁중인 의료 산업
이처럼 의료 산업에서는 아직도 의료기기 보안 관리를 어떻게 할 것인가를 놓고 완전한 합의가 이루어지지 않은 모습이다. “수년 넘게 의료기기 산업에서는 기기의 안전성을 책임져 왔다. 오늘날 안전과 보안은 뗄래야 뗄 수 없는 관계가 되고 말았다. 하지만 안전과 보안의 이러한 결합은 지금까지는 순탄치 않았다”고 토레스는 말했다. 

그렇다면 IoT 기기 공격으로 실제로 피해를 본 환자도 존재할까? 메드크립트(MedCrypt)의 마이크 카이주스키는 “실제로 환자가 영향을 받은 사례가 있냐는 질문에 대한 공식적인 답변은 ‘그런 사례는 없다’가 될 것”이라고 밝혔다. 그렇지만 포네몬 인스티튜트가 실시한 설문조사를 보면 응답자의 33%는 IoT 기기로 인한 부정적 경험을 한 적 있는 것으로 나타났다. 

의료기기 보안사고로 인해 손해나 피해를 본 적이 있느냐는 질문을 던진 또 다른 설문조사에서는 미국 외 국가에 거주하는 한 응답자가 ‘그런 적이 있다’고 답했으며 이러한 사고로 인해 100에서 1,000명 사이의 환자들이 피해를 보았다고 설명했다. 

의료기기 해킹으로 인한 피해 상황이나 사고 사례를 파악하기가 어려운 이유에 관해 토레스는 “오늘날 대부분 기기 제조사들이 의료기기에 이상 행동을 탐지하는 기능을 내장하지 않고 있기 때문이다. 따라서 문제가 발생해도 이를 탐지해내는 경우는 잘 없다. 의료기기 해킹으로 인한 피해 사례가 잘 보고되지 않는 것은 설령 해킹이 발생하더라도 의료기기에 이를 탐지하고 알리는 기능이 없기 때문”이라고 지적했다. 이어서 그는 “오늘날 IoT 의료기기들의 위협 탐지 메커니즘에 대한 우리의 신뢰도는 매우 낮은 편이다”라고 덧붙였다. 

페라리는 “우리도 심박조율기 해킹의 주된 문제가 무엇인지 알고 있고… 워너크라이 악성코드가 의료기기에 침입하여 작동을 방해한다는 사실도 알고 있다”고 덧붙였다. 

FDA도 지난 10월 의료기기 제작 및 라벨링 사이버보안 권고 가이드 초안을 내놓으며 의료기기 보안 논쟁에 뛰어들었다. 이 초안에는 사이버보안 위험이 있는 의료기기의 시판 전 제출 때 포함되어야 할 문서들도 일일이 나열되어 있다. 또한 FDA는 MITRE 코퍼레이션(MITRE Corporation)의 의료기기 사이버보안 지역 사건, 사고 준비 및 대응 플레이북 개발을 비롯하여 이 분야의 여러 활동을 지원하고 있다. 

(NIST는 NIST SP 1800-8 ‘무선 인퓨전 펌프 보안’ 에서 IoT 사이버보안 어드바이스를 제공하고 있다.) 

토레스는 “무엇보다도 사이버보안 물자표(Bill of Material)를 추가하는 것이 플레이 북에 많은 도움이 될 것이다. 의료기기 보안에 어떤 하드웨어 및 소프트웨어가 사용되는지 알고 있을 필요가 있다. 특히 소프트웨어의 경우 문제가 복잡하다. 출처 불명의 소프트웨어가 다른 소프트웨어들과 함께 섞여들 수 있기 때문이다”라고 설명했다. 

의료기기 보안과 관련한 정부 가이드나 규제를 마련하기 역시 쉽지 않다. 메드크립트의 카이주스키는 기기 제조사들이 “정부 기관과의 대화를 강력히 거부하고 있기 때문”이라고 지적했다. 결국 이 문제의 해결은 돈에 달렸을지도 모른다. “결국 중요한 것은, 요점이라 할 수 있는 것은 보안이 기기 제조사들의 수익에 플러스 요인이 될 수 있는가, 비즈니스 동인이 될 수 있는가다”고 그는 덧붙였다. ciokr@idg.co.kr

X