IoT / 보안

헬스케어 산업의 가장 큰 보안 위협은 ‘미패치 IoT 기기’

Shweta Sharma | CSO 2022.02.03
의료용 기기 보안 솔루션 업체 사이네리오(Cynerio)가 IoT 및 IoMT(Internet of Medical Things) 기기를 분석한 결과, 53%가 중대한 사이버보안 위험에 노출된 것으로 나타났다.
 
ⓒ Getty Images Bank

사이네리오는 네트워크 코어 스위치에 있는 SPAN(Switched Port Analyzer) 포트와 연결했을 때 네트워크에 연결된 각 장치의 트래픽 정보를 수집하는 커넥터를 사용해 미국의 병원 300여 곳에서 사용하는 1,000만대 이상의 기기의 조사했다. 사이네리오 연구팀은 커넥터가 수집한 정보를 자체 AI 알고리즘으로 분석해 취약점과 사이버 위협을 식별했다.

보고서에 따르면, 병원에서 사용하는 전형적인 의료용 IoT 기기의 38%는 정맥 주입 펌프다. 하지만 정맥 주입 펌프의 73%는 환자의 안전이나 데이터 기밀성, 서비스 가용성을 위태롭게 할 수 있는 취약점을 적어도 하나씩 보유하고 있는 것으로 조사됐다.

시장조사업체 콘스텔레이션 리서치(Constellation Research) 부사장 리즈 밀러는 “의료 시스템은 병원의 의료 인프라 그 자체와 디지털화된 의료 기록에 이르기까지 다양한 공격 표면을 가지고 있다. 코로나19 팬데믹으로 의료 시스템은 사이버 공격자에게 매력적인 공격대상이 되었고 의료 네트워크와 시스템, 기기는 언제든지 공격받을 수 있다”라고 설명했다.

사이네리오 조사 결과, 매달 한 번 이상 사용하는 IoT 기기는 79%에 달했으며, 한 달에 한 번도 사용하지 않을 수 있는 기기는 21%인 것으로 나타났다. 


가장 큰 위협은 패치하지 않은 기기

사이네리오 CTO 다니엘 브루디는 “한 명의 환자에게 의료 기기를 사용하기 시작하면 적어도 며칠이나 몇 주 동안 사용해야 한다. 병원에는 24/7 중단 없이 사용해야 하는 의료 기기가 매우 많다. 의료 기기에 대한 패치 작업조차도 의료 워크플로우와 환자의 안전, 병원 운영에 심각한 영향을 미칠 수 있다”라고 설명했다.

의료용 기기를 정기적으로 업데이트하지 않는 또 다른 이유도 있다. 일반적으로 병원 네트워크는 다양한 업체의 기기를 호스팅하는데, 각 기기의 패치 적용 및 업그레이드 절차가 너무 복잡해 다운타임 기간 내에 작업을 완료하기 어렵다. IoT 기기의 48%는 리눅스 기반 운영 시스템이다. 하지만 리눅스가 전 세계 웹 서버의 70%를 차지하는 만큼 리눅스 기반 시스템을 노리는 사이버 공격자도 많기 때문에 우려의 목소리가 커지고 있다. 

브루디는 “IoT 환경에서 랜섬웨어 공격 집단이 리눅스 기반 기기를 표적으로 삼는 경우를 많이 목격했다. 공격자는 공격 대상에 대해 잘 알고 있으며 거의 맞춤형 방식으로 공격한다. 전통적인 ‘스프레이 앤 프레이(spray and pray)’ 방식의 공격보다는 시간이 오래 걸리지만, 받을 수 있는 보상은 더 크다”라고 말했다.

윈도우를 기반으로 하는 의료 기기 수는 적지만, 중요한 의료 기기는 전반적으로 윈도우 10보다 오래된 버전을 사용하고 있었다. 약리학과나 종양학과, 검사실처럼 환자의 직접적인 치료를 담당하는 부서에서 사용하는 장치도 포함한다.


IoT 공격의 가장 큰 위협은 랜섬웨어

의료 산업을 노린 사이버 공격 가운데 최근 가장 문제가 되는 것이 랜섬웨어다. 사이네리오 조사에 따르면, 2021년 병원에 대한 랜섬웨어 공격은 전년대비 123% 증가했다. 의료 업계는 2021년 총 500건이 넘는 공격으로 인해 210억 달러의 손해를 입었다. 랜섬웨어 공격당 평균 800만 달러의 복구 비용이 투입되는 것으로 파악되며, 조직이 각 공격에서 완전히 복구하기까지 걸리는 시간은 약 287일 정도다. 

시장조사업체 포레스터 애널리스트 앨리 멜렌에 따르면, 최근 2년간 랜섬웨어 공격은 더욱 빈번하게 발생하고 있다. 하지만 다양한 의료 기기의 특성상 병원은 레거시 시스템을 업그레이드하는 데 많은 어려움을 겪는다.

악성 프로그램이나 DDoS(Distributed Denial of Service) 공격도 빈번하게 발생하는 데다가 몸값을 요구하는 경우가 있다. 브로디에 따르면, 악성 프로그램이나 DDoS 공격으로 운영이 중단되는 것은 환자의 바이탈 사인을 추적하는 기기나 환자의 병력 및 치료 기록을 집계하는 시스템이다. 뿐만 아니라 중요한 정보를 전달하는 수단인 이메일이나 VOIP 같은 통신 시스템도 중단된다. 영상의학, 의학촬영, 의료영상저장전송시스템(Picture Archiving and Communication System, PACS)에 사용하는 기기와 스캐너, 정맥 주입 및 인슐린 펌프, 프린터, 기타 네트워크 기기도 제 기능을 하지 못할 수 있다.


네트워크 세분화를 통한 취약점 제거

사이네리오의 조사 결과, 의료 IoT 기기에서 최근 발견된 취약점인 URGENT/11과 Ripple20이 실제 위협으로 이어진 사례는 약 10%에 불과했다. URGENT/11과 Ripple20은 공격자가 사용자 상호작용 없이 TCP/IP 스택을 통해 원격으로 장치를 제어하는 취약점이다. 

의료 분야에 가장 큰 위협이 된 것은 시스코 IP 전화기 CVE(Cisco IP Phone CVE)였다. 사이네리오가 발견한 취약점의 31%가 시스코 IP 전화기 CVE였으며, 21%는 취약한 HTTP 자격 증명, 20%는 개방형 HTTP 포트였다. 

다양한 업체의 IoT 기기를 일일이 패치하는 것이 어렵기 때문에 이런 취약점을 완화하는 가장 효율적인 방법은 네트워크 격리와 세분화다. 또한 사이네리오는 연결 중단 없이 안전을 보장하기 위해서는 기기의 동서(east-west) 및 남북(north-south) 간 통신을 세분화한 네트워크 연결의 적절한 균형이 필수적이라고 강조했다. 

브로디는 “의료 환경에서는 흐름이 특히 중요하다. 네트워크 세분화가 임상 작업 흐름을 방해하거나 환자의 치료를 방해하면 안 되므로 연결과 단절 사이에 균형을 맞춰야 한다. 예컨대 정맥 주입 펌프는 데이터 센터의 서버에만 연결할 수 있으며, 비교적 쉽게 접근할 수 있는 (남북 간 연결되는) 다른 서버나 장치와는 연결하면 안 된다”라고 말했다. 

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.