누군가가 지켜 보고 있다
이러한 데이터의 용도는 무수히 많다. 하지만 데이터가 매우 민감하며 범죄에 악용될 수도 있다. 주입 펌프, 심장박동 조율기, 임플란트 세동제거기 같은 기기의 경우, 보안 취약성의 결과가 치명적일 수 있다. 다른 데이터는 개인정보 도용이나 협박에도 사용될 수 있다.
고스토멀스키는 "의료 기기 업체들이 가능한 많은 정보를 디지털로 통합하려 하고 있다"면서 "이들 업체에게 보안은 최우선 고민 대상이 아니다. 이들은 일단 제품부터 팔려고 한다"고 우려를 표했다.
게다가 병원은 보안과 관련된 특수한 문제가 있다.
고스토멀스키는 "병원 네트워크에는 HIPAA 정보와 데이터가 많다"고 말했다. 이어서 "하지만 병원에서는 아무도 사용하지 않을 때 잠글 수 없는 워크스테이션이 많다. 응급 시에 의사 또는 간호사가 비밀번호를 입력하거나 지문을 인식하고 환자에게 필요한 것을 꺼낼 수 있는 크래시 카트(Crash Cart) 등과 연결되어 있다"고 덧붙였다.
병원의 문제만은 아니다
고스토멀스키는 병원이 더욱 안전한 환경을 위해 더 많은 일을 할 수 있다고 주장했다. 그들은 VLAN을 이용해 네트워크를 격리하고 침입 감지 시스템을 배치할 수 있다. 하지만 기본적으로 그는 이를 정리할 책임이 기기 제조사에 있다고 지적했다.
고스토멀스키는 "병원이 반드시 막대한 IT 예산을 보유할 필요는 없다"고 말했다. 이어서 "병원은 의료 장비 구매, 의사 급여 지급, 최고의 환자 경험 제공에 집중한다. 병원만으로는 이 문제를 해결할 수 없다. 그들은 나중에서야 문제 해결을 시도하게 된다. 실제로 의료 기기를 만드는 기기 제조사가 포괄적인 시험을 시행해야 한다. 더욱 안전한 기기를 만들어야 한다"고 전했다.
그는 이를 위해 산업 표준 개발이 필요하다고 밝혔다.
"이는 시간문제일 뿐이다"고 그는 말했다. 이어서 "업계 표준이 만들어지지 않으면 FDA가 개입할 것이다. 우리가 스스로 하지 않으면 정부가 표준을 만들 것이고 우리는 결과에 만족하지 못할 수 있다"고 설명했다.
하지만 병원은 의료 기기 제조사들을 압박하여 표준을 만들고 이 표준을 준수하면 인증하게 할 수 있다.
그는 "병원에는 인증받은 기기가 필요하다"고 강조했다. "수요자, 즉 병원의 요구로 산업이 움직일 것으로 생각한다. 사람들은 이미 의료 기기에 대한 취약성을 보고했으며 심지어 수년이 된 것도 있지만 아직 해결되지 않았다. 기기 보안에 대한 압박을 가하지 않고 있다"고 전했다.
그가 지적한 예로 수개월 전 실시한 침투 시험이 있다. 그는 필라델피아의 한 병원이 사용하는 의료 기기가 전기 통신이 아닌 산업, 과학, 의료 등의 목적으로 할당된 ISM 대역을 벗어난 무선 주파수로 운영되고 있음을 발견했다.
고스토멀스키는 "그들이 선택한 주파수는 필라델피아 소방서가 사용하는 주파수와 너무 가까웠다"고 이야기했다. 소방서에서 해당 주파수를 사용할 때마다 기기에 혼선이 발생하고 재설정됐으며, 이들은 법률을 위반했고 우수 사례와도 전혀 달랐다.
그에 따르면, 적절한 의사 결정은 구매에서 시작된다. 그는 "해당 기기가 믿을 만한 조직의 보안 시험을 통과했는지 병원 CIO가 업체에 알려달라고 요구해야 한다"고 밝혔다.
또 그는 병원 CIO가 계약과 관련하여 '당근과 채찍' 접근방식을 취해야 한다고 주장했다. CIO는 제조사에 보안 취약성을 처리하는 방법과 패치 업데이트 정책에 관해 질문해야 한다. CIO는 계약서에 보안 취약성 발견 시 기기에 대한 시의적절한 패치 제공 책임을 명시해야 한다. ciokr@idg.co.kr