이번 조사는 독립 설문조사 기업 글로벌 서베이즈(Global Surveyz)가 북미와 유럽, 아시아의 고위 의사결정자 150명을 대상으로 실시한 것으로, 장비 보안이 아직 초기 단계에 있지만 파편화된 툴에 의해 관리되고 있다는 것을 보여준다. 보고서에서 사일로화되고 파편화된 프로세스와 툴은 효율성 및 효과성 측면에서 매우 나쁘며, 장비 보안이 기업에 미치는 비즈니스 영향을 평가하는 기능을 제한하는 것으로 나타났다.
이번 조사에 따르면, 장비 업체의 중요한 과제는 제품 보안을 지속적으로 관리하는 것이다. 조사 응답자 중 43%가 꾸준한 보안 관리를 보안팀이 직면한 2번째 과제로 꼽았다. 이에 37%가 개발 라이프사이클에서 초기 단계에 우선순위를 두고 있다고 밝혔다.
사이벨리움의 CMO 데이비드 라이크너는 CSO와의 인터뷰를 통해 “개발 프로세스에서 초기 단계에 중점을 둘 경우, 취약점을 조기에 발견할수록 비용도 적게 든다. 모니터링은 연속적으로 실시돼야 하며, 설계뿐만 아니라 개발자가 컴포넌트와 소프트웨어를 통합하는 단계에서도 장비를 점검해 사이버 위협이 발생하지 않도록 해야 한다. 또한, 시장에 출시될 때에도 장비를 다시 한번 확인해야 한다”라고 말했다.
라이크너는 복잡한 보안 문제를 관리하는 것은 사이버 보안 인식이 없으면 쉽지 않다며, "이들 장비도 PC처럼 해킹될 수 있다. 장비 업체가 이런 사실을 인지하기 전까지 의료 장비 업계의 실질적인 보안 문제는 해결되지 않을 것이다”라고 덧붙였다.
보고서는 응답자의 사이버 보안에 대한 관점이 양면성을 띤다는 점에 주목했다. 응답자의 83%는 장비 보안이 시장에서 경쟁력을 확보할 수 있는 요소라고 밝혔다. 반면, 80%는 규제 당국이 부과하는 필요악이라고 답했다. 라이크너는 "이처럼 응답자의 견해가 모순적인 이유는 그동안 취약점으로 인해 리콜된 적이 많았지만, 정작 사용자는 해킹된 의료 장비로 인한 막대한 피해 사례를 한 번도 본 적이 없다는 사실과 관련이 있다”라고 말했다.
또한, 이번 조사에서 응답자의 78%가 컴플라이언스를 위해 최소한의 노력을 기울이고 있다고 답했다. 보고서에 따르면, 이것이 바로 컴플라이언스 의무를 다하는 기업이 평균적으로 절반 밖에 안 되는 이유이다.
라이크너는 컴플라이언스 표준이 일반적으로 보안에 필요한 최소한의 기준을 규정한다고 밝혔다. 따라서 기업은 최소한의 노력만 기울이면 장비 보안 문제의 심각성을 인지하지 못한 상태에서 제품을 시장에 신속하게 출시하는 데에만 집중할 것이라고 경고했다.
editor@itworld.co.kr