2017.11.20

"메디컬 IoT 총체적 취약, 업계와 의료진 공동 작업 필요"

Jon Gold | Network World
화이트 해커이자 의료용 IoT 보안 전문가, UC 샌디에고 의과 대학 교수인 크리스티안 다메프 박사가 오늘날의 의료 분야의 보안 상태에 대해 심각한 수준이라고 경고했다.



그에 따르면 디지털 기술은 이미 현대 의학 치료의 핵심 토대다. 많은 젊은 의사들은 종이 차트나 서면 처방전으로 일한 적이 없으며 라이트 박스에서 엑스레이를 보고 있다. 이 모든 것이 디지털이다.

그는 오늘날 의료 보안의 문제점이 크게 2가지가 있다면서 그 중 하나는 데이터 보안에만 중점을 두는 것이라고 지적했다.

그는 "의료계에서 정보 보안에 관해 이야기 할 때, 우리는 HIPAA 준수에 대해 이야기하곤 한다. HIPAA에 대한 두려움과 매 해 수백 건의 데이터 유출 사건이 있기 때문에 이것이 초점이 됐다"라고 말했다.

그는 그러나 더 큰 문제가 있다면서 현대 의학에서 필요로하는 치료 업무를 자동화하고 속도를 높이는 데 사용되는 연결 장치의 보안이 취약하다는 점이라고 강조했다. 이들 기기의 경우 외부에서 관리되는 경우가 많기 때문에 특히 그렇다는 설명이다.

그는 "환자를 수십 개의 무선으로 연결된 장치가 둘러싸고 있다. 구형 운영체제를 실행하고 패치되지 않았으며 하드 코드된 자격 증명을 사용한다.이 환자에게 주입되는 유력한 약물을 오산하거나 변경하면 이 환자를 죽게 할 수 있다. 이것이 현대 의료의 상태다. 바꿀 필요가 있다"라고 말했다.

해킹에 취약한 병원
연결된 장치들만 병원 내의 취약 지점이 아니다. 오래되고 패치되지 않은 IT 시스템들도 해당된다. 워너크라이와 같은 악명 높은 공격은 커스텀 하드웨어로 가득한 병원을 이내 오프라인 상태로 만들 수 있다고 다메프는 지적했다.

그는 심장 마비나 뇌졸중으로 고통받는 환자의 치료가 몇 분 또는 몇 시간 지연되면 영구적인 장애나 사망을 의미 할 수 있다며 "예를 들어 CT 스캐너가 작동하지 않으면 뇌졸중 환자를 돌볼 수 없다. 우리는 아무 것도 할 수 없게 된다"라고 말했다.

다메프는 "의료 기기 제조에 대한 새롭고 총체적인 접근법을 도입할 필요가 있다. 이를 위해 의료 기기 제조업체는 직접 의사와 협력해야 한다"라고 말했다. ciokr@idg.co.kr 



2017.11.20

"메디컬 IoT 총체적 취약, 업계와 의료진 공동 작업 필요"

Jon Gold | Network World
화이트 해커이자 의료용 IoT 보안 전문가, UC 샌디에고 의과 대학 교수인 크리스티안 다메프 박사가 오늘날의 의료 분야의 보안 상태에 대해 심각한 수준이라고 경고했다.



그에 따르면 디지털 기술은 이미 현대 의학 치료의 핵심 토대다. 많은 젊은 의사들은 종이 차트나 서면 처방전으로 일한 적이 없으며 라이트 박스에서 엑스레이를 보고 있다. 이 모든 것이 디지털이다.

그는 오늘날 의료 보안의 문제점이 크게 2가지가 있다면서 그 중 하나는 데이터 보안에만 중점을 두는 것이라고 지적했다.

그는 "의료계에서 정보 보안에 관해 이야기 할 때, 우리는 HIPAA 준수에 대해 이야기하곤 한다. HIPAA에 대한 두려움과 매 해 수백 건의 데이터 유출 사건이 있기 때문에 이것이 초점이 됐다"라고 말했다.

그는 그러나 더 큰 문제가 있다면서 현대 의학에서 필요로하는 치료 업무를 자동화하고 속도를 높이는 데 사용되는 연결 장치의 보안이 취약하다는 점이라고 강조했다. 이들 기기의 경우 외부에서 관리되는 경우가 많기 때문에 특히 그렇다는 설명이다.

그는 "환자를 수십 개의 무선으로 연결된 장치가 둘러싸고 있다. 구형 운영체제를 실행하고 패치되지 않았으며 하드 코드된 자격 증명을 사용한다.이 환자에게 주입되는 유력한 약물을 오산하거나 변경하면 이 환자를 죽게 할 수 있다. 이것이 현대 의료의 상태다. 바꿀 필요가 있다"라고 말했다.

해킹에 취약한 병원
연결된 장치들만 병원 내의 취약 지점이 아니다. 오래되고 패치되지 않은 IT 시스템들도 해당된다. 워너크라이와 같은 악명 높은 공격은 커스텀 하드웨어로 가득한 병원을 이내 오프라인 상태로 만들 수 있다고 다메프는 지적했다.

그는 심장 마비나 뇌졸중으로 고통받는 환자의 치료가 몇 분 또는 몇 시간 지연되면 영구적인 장애나 사망을 의미 할 수 있다며 "예를 들어 CT 스캐너가 작동하지 않으면 뇌졸중 환자를 돌볼 수 없다. 우리는 아무 것도 할 수 없게 된다"라고 말했다.

다메프는 "의료 기기 제조에 대한 새롭고 총체적인 접근법을 도입할 필요가 있다. 이를 위해 의료 기기 제조업체는 직접 의사와 협력해야 한다"라고 말했다. ciokr@idg.co.kr 

X