사물인터넷(IoT)은 보안전문가들 눈에는 허점투성이다. 인터넷과 연결되는 통로가 많아질수록 공격자들이 뚫고 들어올 뒷문이 점점 늘어나게되는 셈이기 때문이다. 특히나 병원과 같이 환자의 생명을 책임지는 기관에서는 보안사고가 단순히 정보유출로 끝나지 않을 가능성이 높다.
최근 유럽연합(EU) 산하 네트워크 및 정보보안 전문기관인 ENISA는 IoT기기를 통해 의료서비스를 자동화하고, 원격에서도 각종 서비스를 제공하는 '스마트 병원'이 겪을 수 있는 여러가지 보안문제와 이에 대한 대비책을 다룬 보고서를 공개했다.
ENISA가 정의한 스마트 병원은 'IoT 기술에 기반해 환자 치료 과정을 개선하고, 새로운 기능을 제공하기 위해 내부 자산과 연결된 ICT환경을 구축해 최적화되고, 자동화된 프로세스를 활용하는 병원'이다.
이러한 스마트 병원을 구성하는 요소는 원격의료, 환자 안전강화, 대기시간 없는 환자 진료, 진찰 및 수술 부문 개선과 함께 사이버 레질리언스(회복력), 신뢰성 확보 등이다. 사이버 레질리언스는 IoT 기기 등을 포함해 ICT 의존도가 높아지는 병원들이 어떤 보안위협이나 각종 사고에 처했을 때 빠르게 피해를 최소화하고, 정상적으로 시스템을 운영할 수 있는 회복력을 말한다.
스마트 병원에서 서로 네트워크로 연결된 의료기기들은 환자의 안전을 확보하면서 병원 시스템의 효율성을 높일 수 있지만 반대로 진료 관련 기록이 유출되거나 사이버 공격으로 인해 심각한 피해를 입을 수도 있다.
때문에 ENISA는 "병원이 정보보안을 대하는 태도를 바꿔야 한다"고 강조한다. "(스마트 병원 내에)네트워크와 연결된 기기가 많아질수록 공격할 곳 역시 늘어나게 되고 결국에는 공격이 기하급수적으로 늘어나게 된다"는 지적이다.
공격자들 입장에서 환자 진료 기록 등을 포함한 건강정보는 금융정보 보다 훨씬 높은 가격에 암거래되는 고급정보다. IoT 시대가 되고 스마트 병원이 늘어날수록 이를 노린 해킹이 늘어날 수밖에 없는 이유다.
■EU가 밝힌 스마트 병원 위협은?
ENISA 보고서는 의료 분야에서 IoT 기기를 통한 보안위협을 크게 4가지로 정리했다.
먼저 IoT 기기와 레거시 시스템 간 커뮤니케이션이 보안구멍을 만든다는 점이다. 이를통해 공격자들이 시스템에 불법적으로 접속해 데이터를 빼낼 수 있게 한다.
두번째는 스마트 병원의 경우 IoT기기가 병원 전체에 걸쳐 광범위하게 퍼져있음에도 불구하고 물리적인 보안성을 보장하지 못한다는 사실이다. 정보를 훔치거나 시스템에 침입하려는 시도를 그대로 놔둘 가능성이 크기 때문에 더 많은 보호책이 필요하다는 설명이다.
세번째로 의료기기는 특별한 목적을 갖고 설계됐기 때문에 제작자들이 의도치 않은 사용방법이나 오남용에 대해 크게 고려하지 않는다. 따라서 수많은 시스템 상 취약점이나 위험이 발생할 수 있다.
마지막으로 표준 IoT기기가 광범위하게 도입되면 공격자들은 이들에 대한 공격방법을 연구하기 시작한다. 기기 제조사나 보안회사들이 모든 취약점을 제거해야만한다. 공격자들은 해당 기기를 해킹할 수 있는 한 가지 취약점만 찾으면 된다.
추가로 병원이 관리하는 IoT기기의 수명주기도 고려해야할 문제다. EU 법에 따르면 의료기기들은 설계에서부터 테스트를 거쳐 실제 상용화되기까지 적어도 3년의 기간을 거친다. MRI 같은 경우가 그렇다. IoT 기능이 이러한 기기에 탑재될 경우 이미 오래된 버전이 돼버린다. 그만큼 공격자들이 공격방법을 연구할 시간을 벌어주는 셈이다.
보고서는 또한 IoT기기에 적용된 임베디드 운영체제(OS)와 애플리케이션은 악성코드를 탐지하거나 예방하는 능력을 갖춘 경우가 드물다고 지적했다. 적은 용량으로 한정된 컴퓨팅 자원을 사용해야하기 때문이다. 암호화나 강력한 보안기능을 적용하기 어려운 이유다. 더구나 한번 내장된 IoT 기기의 OS를 재설정하거나 업그레이드하는 것은 사실상 불가능한 일이다.
■랜섬웨어, DDoS에 의료장비 도난까지 공격 시나리오 보니
가장 심각한 문제를 초래할 수 있는 것은 병원 시스템을 대상으로 한 랜섬웨어와 분산서비스거부(DDoS) 공격이다. 사용자 PC 내 파일들을 암호화 시킨 뒤 이를 풀어주는 대신 댓가를 요구하는 랜섬웨어는 IoT 시대에 병원에게는 가장 큰 위협으로 부상할 가능성이 크다. 환자들의 생명이 오가는 급박한 상황에서 병원 내 의료정보를 관리하는 시스템 파일들이 암호화 돼 조회가 불가능하면 병원 업무가 마비될 수 있다. 실제로 독일에서는 루카스 병원, 클리니컴 안스버그 병원에서 각각 악성 이메일 첨부파일을 통해 랜섬웨어에 감염돼 시스템이 정상 작동하지 않는 사고가 발생했었다.
DDoS 공격도 생명이 오가는 환자들을 다루는 병원에 심각한 위협이 된다. 이 공격수법은 사전에 악성코드에 감염시켜 마음대로 조종할 수 있는 좀비PC를 악용한다. IoT 시대가 되면 네트워크로 연결된 각종 의료기기들 마저도 이러한 공격에 악용될 수 있다는 점에서 문제가 커진다. 미국 보스턴 아동 병원은 실제로 해커그룹에게 이러한 공격을 당한 바 있다. 당시 이 병원을 대상으로 세 차례에 걸친 DDoS 공격은 최대 28Gbps에 달하는 트래픽을 유발했다. 정상적인 업무가 어려운 상황에 노출된 것이다.
다음으로 의사, 간호사, 병원 직원 등을 대상으로 한 사회공학적 기법을 동원한 공격도 대비해야한다. 친구나 동료, 가족 등을 위장해 직원들이 이메일 등을 통해 악성코드를 설치하도록 유도한 뒤에 추가적인 공격을 수행할 수 있기 때문이다.
해킹한 의료기기를 악용해 환자의 안전과 프라이버시를 위협하는 수법도 예상해 볼 수 있다. 만약 이러한 기기가 병원 내부 네트워크와 연결되는 통로역할을 하는 것이었다면 문제는 심각해진다. 이를 통해 환자의 의료정보를 빼갈 가능성이 크다. 인터넷과 연결된 전 세계 모든 기기를 스캐닝하는 쇼단과 같은 툴이 공격에 악용될 수도 있다. 인터넷과 별개 무선네트워크로 연결돼 있지만 보안에 취약한 기기도 공격자가 중간에서 악성코드를 심는 수법으로 정보를 탈취하는 시나리오도 이미 병원 외 분야에서 널리 퍼진 공격수법이다.
유럽에서는 의료장비 도난사건도 골치아픈 일로 꼽힌다. 조직적인 범죄조직이 병원 내 시스템을 해킹해 고가 의료장비들이 어떤 곳에 위치하고 있는지, 어떻게 빼낼 수 있는지를 연구해 몰래 훔쳐가기 때문이다. 실제로 영국 국가의료서비스기관(NHS trust)로 지정된 북서부 런던 소재 병원들은 2010년~2011년 사이 의료장비 도난사건으로 22만파운드(약3억2천70만원) 가량 피해를 입었다. 북부 중앙 런던 소재 병원들의 경우 창고에 방치해 놓은 암호화되지 않은 노트북이 도난당해 800만명 환자의 의료정보가 유출되기도 했다. 브라이튼 서식스 대학병원도 민감한 개인 금융정보와 의료정보가 담긴 232개 하드드라이브가 도난당하는 사고로 37만5천 파운드(약5억4천665만원) 벌금을 물어야했다.
문제는 단순히 고가 의료장비나 컴퓨터가 도난 당하는 것으로 끝나지 않는다는 사실이다. 내부에 저장된 환자들의 의료정보까지 함께 노출될 수 있다.
■스마트 병원, IoT 시대 사전대응 필수
ENISA는 이 같은 IoT 기반 보안위협을 막기 위해 병원, 산업계에 각각 필요한 가이드라인을 제시했다. 먼저 병원의 경우 해킹사고 등이 발생한 뒤 사후대응하는 것이 아니라 선제대응하도록 패러다임을 바꿔야 한다는 조언이다.
구체적으로 병원 내 주요 IoT 구성요소에 대해 비용 대비 효과를 분석할 필요가 있다. 이와 함께 병원 내 중요한 자원을 보호하기 위한 정보보안전략을 마련할 것을 요청했다. 병원 내에서 의사, 간호사, 직원들이 자신의 .모바일기기로 업무를 볼 경우에 필요한 보안정책도 마련해야한다. 병원 내 자산들이 어떻게 서로 인터넷이나 내부 네트워크를 통해 연결되는지를 파악하는 것도 중요한 작업이다. 이와 함께 병원 내에서 쓰이는 모든 종류의 운영체제(OS) 중 기본적인 보안정책을 적용할 것을 권고했다.
보다 기술적으로는 네트워크를 여러 개로 격리해서 관리하는 방법으로 공격자가 IoT 기기를 통해 외부 인터넷망을 거쳐 병원 내부시스템에까지 접근하지 못하도록 하는 동시에 모니터링, 암호화, 접근제어, 인증 등을 견고하게 다질 필요가 있다고 강조했다.
관련기사
- 시큐리티플랫폼, IoT 보안칩 개발 추진2016.11.30
- LG전자 기업보안책임자 "IoT보안 솔루션 아직은 못믿겠다"2016.11.30
- ARM, 이스라엘 보안회사 인수...IoT보안 강화2016.11.30
- IoT보안 강화하려면 기기-암호화 잡아라2016.11.30
병원용 혹은 개인용 IoT기기를 만드는 산업계에 대해서는 해당 기기의 보안성에 대해서도 일종의 품질을 보증할 필요가 있다고 강조했다. 병원들을 대상으로 IoT 기기에 대한 보안성 테스트를 수행하는 것에 더해 정기적인 침투테스트를 통해 부족한 부분을 보완할 필요가 있다. 또한 환자의 생명과 직결될 수도 있는 만큼 사회기반시설을 대하는 수준의 보안성을 유지하도록 규제를 정비할 필요가 있다고 덧붙였다.
올해 미국 비영리 단체인 북미의료정보관리시스템협회(HIMSS)가 수행한 사이버보안 조사에 따르면 의료정보를 다루는 병원 등은 백신, 방화벽, 데이터 암호화 등에서는 각각 응답자 중 84.9%, 78.2%, 68.1%가 적용하고 있다고 밝혔다. 그러나 침입방지시스템, 사용자 접근제어, 웹보안게이트웨이, 다중인증, 데이터유출방지(DLP) 등 사용률은 절반 이하 수준에 그쳤다.
