2013.11.29

미 의료 해킹 사고, 빅 데이터로 막을 수 있을까?

John P. Mello | CSO
미 정부의 노력에도, 보건의료계의 보안에 대한 명성은 그리 높지 않다. 다수의 유출 사건들이 매주 터져 나오고 있으며, 연방 건강보험 개혁법(Affordable Care Act)에서 건강보험 거래가 시작되면서 보안 문제가 더욱 심각해질 가능성이 있다.

건강 보험 데이터 관리자들은 ‘빅 데이터’ 보안 솔루션을 자신들의 시스템에 통합시킴으로써 환자 정보 보호를 강화할 수 있다. 하지만 이는 의료 보건 조직들에 더 많은 보안 과제를 남길 수 있다.

보안인식 교육 업체인 노비4(KnowBe4)의 CEO 스투 스주워먼은 “의료계에 알려진 데이터 유출 사고 회수는 놀라운 수준”이라고 말했다.

의료 데이터 해커들의 공격 대상으로 부상
의료 기관들은 점점 더 많은 데이터가 전자화되면서 더욱 자주 해커의 공격대상이 됐다. 미국 정부는 병원과 의료기관들에게 2015년까지 종이 문서 기록을 모두 전자 기록화하라고 2009년부터 권고했으며 이 기관들은 이를 따르고 있다. 컨설팅 업체 테이건포인트(TayganPoint)의 선임 컨설턴트 조안 워커는 “2015년이라는 시점이 의료 제공 조직들이 데이터를 적절히 보호하기에는 너무 촉박하다는 반발도 있다”고 말했다.

더 많은 의료 정보가 온라인에 올라갈 뿐 아니라, 이 데이터에 대한 접속권을 가진 이들도 늘어나고 있다. 소비자들은 온라인으로 그들의 의료 정보를 확인할 수 있고, 의료 전문가들은 전자 정보를 서로 공유, 협업하는데 사용할 수 있다. 산스 인스티튜트(SANS Institute)의 이머징 트렌드 이사 존 페스카토레는 “온라인에 민감한 데이터 증가와 여기에 대한 접속자 수 증가는 해커들에게도 더 많은 기회를 의미한다”고 밝혔다.

위험 관리 업체인 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 선임 전무이사 앨런 브릴은 “의료 보건 분야는 항상 해커들의 관심 대상이었는데, 이제는 그 매력이 더욱 상승했다”고 고 전했다.

이 매력의 일부는 데이터 포식자들의 ‘퍼펙트 스톰(Perfect Storm)’에서 유래된다. 의료 인력을 위한 인증 시스템 제조사 임프리바타(Imprivata)의 코텍스트(Cortext) 제품 그룹의 본부장 에드 가뎃은 “데이터의 일시적인 속성과 네트워크의 침투 속성으로 해커들이 의료 보건에 집중하게 된다”고 말한다.


의료 보건 조직의 데이터 보안 문제에다 네트워크에 연결된 MRI와 CAT 스캔 기계같은 의료 장비들이 문제를 더욱 심화시킨다. “이들 모두 네트워크에 연결되어 있고, 모두 인터넷에 접속되어 있고, 모두 제조사가 패칭하지 않은 취약점들을 가지고 있다. 이는 제공자들에게 완전히 다른 유형의 보안 과제를 안긴다”고 페스카토레는 설명했다.

해커들에게 돈이 되는 의료 정보
의료 보건 기관들이 환자 의료 기록을 인증되지 않은 염탐꾼들로부터 보호하는데 걱정하는 일은 언제나 있었지만, 그 정보로 디지털 강도들이 금전적 이득을 노리는 것은 완전히 새로운 문제가 됐다. 테이건포인트의 선임 컨설턴트 제이 스타넬은 “의료 보건 업계의 주 업무는 환자 치료다”고 설명했다. “만약 이들이 사람을 살리는 의료 영상 기기와 다중 시스템 보안 중에서 어느 곳에 예산을 쓸지 선택해야 한다면, 쉽지 않은 결정이 될 것이다”라고 스타넬은 덧붙였다.

하지만 이런 결정들을 내려야 한다. 전자 정보가 모든 전자 정보가 그렇듯 해커들에게도 똑같이 매력적이기 때문이다. 버라이즌(Verizon)의 리스크팀 선임 애널리스트 수잔 위덥은 “의료 보건 분야는 신용카드 납부로 손쉽게 변환될 수 있는 금융 정보나 위조 신분이나 세금 탈루를 위한 주민등록 번호 같은 유형의 수많은 공격의 대상이 되었다”고 밝혔다.

“이런 의료 보건 교환소들이 온라인에 올라옴에 따라, 범죄자들의 상당한 연구가 뒤따르게 될 것이다”고 위덥은 덧붙였다.

포네몬 인스티튜트(Ponemon Institute)의 창업자이자 의장인 래리 포네몬은 인터넷 도둑들에게 이런 교환소들은 손쉬운 공격대상이라고 주장했다. “이런 교환소에는 개인에 대한 수많은 정보가 보관돼 있고, 이는 가짜 자격과 가짜 신분을 만드는데 큰 도움이 될 것이다”고 그는 이야기했다.

“이런 작업은 급히 이뤄졌고, 보안 기능도 강력하지 못하다”고 포네몬은 말했다. “이런 교환소들은 자체 데이터베이스를 구축하고 있지만, 추가적인 특별 보안책은 마련되지 않고 있는 것으로 보인다”고 그는 덧붙였다.

의료 기관들 역시 내부 공격을 받고 있다. “우리는 데이터에 대한 접속권이 있고, 외부 범죄자들에게 자료를 건네줄 수 있는 내부 인력에 대한 내통 사건도 종종 경험하고 있다”고 위덥은 말했다.

더군다나 모든 규모의 의료 보건 조직들이 해커의 공격 대상이다. 컴퓨터 5대에서 120대까지 운용하는 치과 병원들에 컨설팅 서비스를 제공하는 팩트원(PactOne)의 회장 댄 에드워드(Dan Edwards)는 그런 의료기관에 랜섬웨어(ransomware) 공격이 흔하다고 말했다.




2013.11.29

미 의료 해킹 사고, 빅 데이터로 막을 수 있을까?

John P. Mello | CSO
미 정부의 노력에도, 보건의료계의 보안에 대한 명성은 그리 높지 않다. 다수의 유출 사건들이 매주 터져 나오고 있으며, 연방 건강보험 개혁법(Affordable Care Act)에서 건강보험 거래가 시작되면서 보안 문제가 더욱 심각해질 가능성이 있다.

건강 보험 데이터 관리자들은 ‘빅 데이터’ 보안 솔루션을 자신들의 시스템에 통합시킴으로써 환자 정보 보호를 강화할 수 있다. 하지만 이는 의료 보건 조직들에 더 많은 보안 과제를 남길 수 있다.

보안인식 교육 업체인 노비4(KnowBe4)의 CEO 스투 스주워먼은 “의료계에 알려진 데이터 유출 사고 회수는 놀라운 수준”이라고 말했다.

의료 데이터 해커들의 공격 대상으로 부상
의료 기관들은 점점 더 많은 데이터가 전자화되면서 더욱 자주 해커의 공격대상이 됐다. 미국 정부는 병원과 의료기관들에게 2015년까지 종이 문서 기록을 모두 전자 기록화하라고 2009년부터 권고했으며 이 기관들은 이를 따르고 있다. 컨설팅 업체 테이건포인트(TayganPoint)의 선임 컨설턴트 조안 워커는 “2015년이라는 시점이 의료 제공 조직들이 데이터를 적절히 보호하기에는 너무 촉박하다는 반발도 있다”고 말했다.

더 많은 의료 정보가 온라인에 올라갈 뿐 아니라, 이 데이터에 대한 접속권을 가진 이들도 늘어나고 있다. 소비자들은 온라인으로 그들의 의료 정보를 확인할 수 있고, 의료 전문가들은 전자 정보를 서로 공유, 협업하는데 사용할 수 있다. 산스 인스티튜트(SANS Institute)의 이머징 트렌드 이사 존 페스카토레는 “온라인에 민감한 데이터 증가와 여기에 대한 접속자 수 증가는 해커들에게도 더 많은 기회를 의미한다”고 밝혔다.

위험 관리 업체인 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 선임 전무이사 앨런 브릴은 “의료 보건 분야는 항상 해커들의 관심 대상이었는데, 이제는 그 매력이 더욱 상승했다”고 고 전했다.

이 매력의 일부는 데이터 포식자들의 ‘퍼펙트 스톰(Perfect Storm)’에서 유래된다. 의료 인력을 위한 인증 시스템 제조사 임프리바타(Imprivata)의 코텍스트(Cortext) 제품 그룹의 본부장 에드 가뎃은 “데이터의 일시적인 속성과 네트워크의 침투 속성으로 해커들이 의료 보건에 집중하게 된다”고 말한다.


의료 보건 조직의 데이터 보안 문제에다 네트워크에 연결된 MRI와 CAT 스캔 기계같은 의료 장비들이 문제를 더욱 심화시킨다. “이들 모두 네트워크에 연결되어 있고, 모두 인터넷에 접속되어 있고, 모두 제조사가 패칭하지 않은 취약점들을 가지고 있다. 이는 제공자들에게 완전히 다른 유형의 보안 과제를 안긴다”고 페스카토레는 설명했다.

해커들에게 돈이 되는 의료 정보
의료 보건 기관들이 환자 의료 기록을 인증되지 않은 염탐꾼들로부터 보호하는데 걱정하는 일은 언제나 있었지만, 그 정보로 디지털 강도들이 금전적 이득을 노리는 것은 완전히 새로운 문제가 됐다. 테이건포인트의 선임 컨설턴트 제이 스타넬은 “의료 보건 업계의 주 업무는 환자 치료다”고 설명했다. “만약 이들이 사람을 살리는 의료 영상 기기와 다중 시스템 보안 중에서 어느 곳에 예산을 쓸지 선택해야 한다면, 쉽지 않은 결정이 될 것이다”라고 스타넬은 덧붙였다.

하지만 이런 결정들을 내려야 한다. 전자 정보가 모든 전자 정보가 그렇듯 해커들에게도 똑같이 매력적이기 때문이다. 버라이즌(Verizon)의 리스크팀 선임 애널리스트 수잔 위덥은 “의료 보건 분야는 신용카드 납부로 손쉽게 변환될 수 있는 금융 정보나 위조 신분이나 세금 탈루를 위한 주민등록 번호 같은 유형의 수많은 공격의 대상이 되었다”고 밝혔다.

“이런 의료 보건 교환소들이 온라인에 올라옴에 따라, 범죄자들의 상당한 연구가 뒤따르게 될 것이다”고 위덥은 덧붙였다.

포네몬 인스티튜트(Ponemon Institute)의 창업자이자 의장인 래리 포네몬은 인터넷 도둑들에게 이런 교환소들은 손쉬운 공격대상이라고 주장했다. “이런 교환소에는 개인에 대한 수많은 정보가 보관돼 있고, 이는 가짜 자격과 가짜 신분을 만드는데 큰 도움이 될 것이다”고 그는 이야기했다.

“이런 작업은 급히 이뤄졌고, 보안 기능도 강력하지 못하다”고 포네몬은 말했다. “이런 교환소들은 자체 데이터베이스를 구축하고 있지만, 추가적인 특별 보안책은 마련되지 않고 있는 것으로 보인다”고 그는 덧붙였다.

의료 기관들 역시 내부 공격을 받고 있다. “우리는 데이터에 대한 접속권이 있고, 외부 범죄자들에게 자료를 건네줄 수 있는 내부 인력에 대한 내통 사건도 종종 경험하고 있다”고 위덥은 말했다.

더군다나 모든 규모의 의료 보건 조직들이 해커의 공격 대상이다. 컴퓨터 5대에서 120대까지 운용하는 치과 병원들에 컨설팅 서비스를 제공하는 팩트원(PactOne)의 회장 댄 에드워드(Dan Edwards)는 그런 의료기관에 랜섬웨어(ransomware) 공격이 흔하다고 말했다.


X