아크로니스, 의료기관 데이터 관리의 사이버보안 취약 요인 7가지 발표
“의료 데이터, 사기 청구, 협박, 허위 세금 신고서 제출 등 쉽게 수익 창출 가능한 분야”
[보안뉴스 김영명 기자] 의료기관들이 정보 관리에 어려움을 겪게 하는 주요 보안 취약요인으로 제한된 예산, IT 인력 부족, 의료사물인터넷, 세분된 보안 아키텍처, 피싱 사기, 랜섬웨어 등 7가지가 꼽혔다. 의료 서비스 제공자가 다루는 개인 건강정보(Protected Health Information, PHI)는 민감한 정보를 다수 포함하고 있어, 사이버 범죄자에게 신용카드 번호만큼 중요한 정보다. 의료 데이터는 사기 청구, 협박, 리베이트를 위한 허위 세금 신고서 제출, 처방약 및 의료기기 주문 등을 통해 쉽게 수익을 창출할 수 있어 의료 공격은 악의적인 공격자들에게 인기 있는 영역이다.
![[보안뉴스 / 7.31.] 제한된 예산, 인력 부족, 레거시 시스템 등... 의료 사이버보안 무너뜨릴 취약점 7가지](http://www.boannews.com/media/upFiles2/2023/07/863025605_345.jpg)
[이미지=gettyimagesbank]
사이버 보호 선두기업 아크로니스(지사장 고목동)는 최근 의료기관들이 정보 관리에 어려움을 겪게 만드는 주요 보안 취약요인을 발표했다. 사이버 범죄자들이 의료 분야에서 침입할 수 있는 경로는 광범위하며, 네트워크에 침투해 혼란을 초래할 수 있는 방법도 다양하다. 7가지에 대한 주요 취약 요인은 다음과 같다.
첫 번째로, ‘제한된 예산’으로 자금 부족은 사이버 방어가 취약해지는 가장 큰 요인 중 하나다. 의료기관은 다른 분야에 비해 기술에 대한 지출이 적으며 전체 의료기관의 53%가 예산의 10% 미만을 기술에 투자하고 있는 것으로 조사됐다.
두 번째로, ‘IT 인력 부족’이다. 예산이 충분하지 않으면 보안 침해를 모니터링, 예방, 복구할 수 있는 인력이 부족하다. 의료 서비스 제공업체는 사이버보안 공격의 규모와 복잡성으로 환자 기록의 개인정보 보호와 미국 의료정보보호법(HIPAA)과 같은 규제 표준 준수를 보장하기 위해 방어 체계를 유지할 수 있는 IT 전문가에게 이러한 책임을 아웃소싱해야 한다.
세 번째로 ‘레거시 시스템’이 있다. 오래된 시스템은 업그레이드 비용이 너무 비싸거나 호환성 문제가 있을 수 있다. 또한, 의료장비 제조업체의 지원이 부족하면 적절한 보안 패치가 제공되지 않을 수 있다. MSP가 레거시 시스템의 위험을 상쇄하기 위해 즉시 취할 수 있는 조치는, 소프트웨어 버전 및 공급업체 수를 줄이고, 중요한 생명 유지 장비 및 이와 유사한 장치를 인터넷에서 제거해 네트워크를 세분해 공격 또는 사고를 격리하고, 보안운영센터(Security Operations Center, SOC)에 대한 구체적인 책임이 명시된 워크플로 다이어그램을 만들 수 있다.
네 번째로, ‘의료사물인터넷(Internet of Medical Things, IoMT)’이다. 환자 데이터를 저장하고 분석하는 클라우드 플랫폼에 연결된 디바이스는 큰 취약점이 될 수 있다. IBM의 연구에 따르면 환자 침대당 평균 10~15개의 디바이스가 연결된 것으로 확인됐다. 의료기기가 손상되면 환자의 안전과 개인정보가 위험에 처할 수 있으며, 이러한 서비스를 사용하는 소비자 전체가 노출될 수도 있다.
다섯 번째는 ‘세분된 보안 아키텍처’다. 의료기기와 마찬가지로 의료 서비스 제공업체는 일반적으로 여러 포인트 보안 솔루션에 의존한다. 이렇게 서로 다른 시스템으로 인해 MSP는 사이버 범죄자가 민감한 데이터에 접속하거나 랜섬웨어를 배포하기 전에 공격 가능성을 식별하고 취약점을 해결하기가 어려워진다.
여섯 번째는 ‘피싱 사기’다. 사용자는 사이버 범죄자의 가장 빈번한 진입 지점 중 하나이며, 이메일 및 웹사이트와 관련된 위험에 대한 직원 인식 부족은 의료 전문가에게 치명적일 수 있다. 미국 보건복지부(HHS)는 현재 이러한 피싱 및 해킹 사기와 관련된 수백 건의 사례를 조사하고 있다.
마지막으로 일곱 번째는 ‘랜섬웨어’가 있다. 병원은 특히 몸값을 지불할 확률이 높기 때문에 사이버 공격의 주요 타깃이 된다. 미국 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA), 미국 재무부는 최근 북한의 지원을 받는 위협 행위자들이 마우이(Maui) 랜섬웨어를 사용해 의료 및 공중 보건(HPH) 조직을 공격하는 것으로 추정되는 사례에 대해 공동 경고를 발표했다. 시큐리티 매거진의 한 보고서에 따르면 일부 의료 서비스 제공업체는 기록과 인터넷에 연결된 의료 도구에 액세스하지 못하면 환자의 생명에 중대한 영향을 미칠 수 있기 때문에 랜섬 요구에 빠르게 굴복할 것이라고 한다.
![[보안뉴스 / 7.31.] 제한된 예산, 인력 부족, 레거시 시스템 등... 의료 사이버보안 무너뜨릴 취약점 7가지](http://www.boannews.com/media/upFiles2/2023/07/863025605_762.jpg)
▲아크로니스 로고[로고=아크로니스]
연구기관 카날리스(Canalys)의 최근 조사에 따르면 진화하는 위협 환경으로 인해 의료기관들은 지속해서 사이버보안 방어를 강화하고 탐지 기능을 확장하며 사고 대응을 개선해야 한다는 압박을 받게 된다. 올해 의료기관의 컨설팅, 아웃소싱, 매니지드 서비스를 포함한 사이버보안 서비스 제공은 전년 대비 14.1% 성장해 1,443억 달러(한화 약 184조 1,412억 3,000만원)에 달할 것으로 전망된다. MSP(Managed Service Provider)와 MSSP(Managed Security Service Provider)는 모든 침해 지점을 차단해 의료기관의 사이버 태세를 강화해야 한다. 이때 해당 시스템이 취약한 부분과 어떤 보호 조치를 마련해야 하는지 이해하면 의료 서비스 제공업체가 고위험·고보상 분야에서 자격 증명을 확립하는 데 도움이 된다.
아크로니스코리아 고목동 지사장은 “의료 서비스 제공업체는 환자의 개인정보를 보호하고 모든 규제 요건을 준수하기 위해 IT 인프라에 지속해서 투자해야 한다”고 말했다. 이어 “MSP와 MSSP는 시스템 약점을 파악하고 해결해 고객을 더 나은 위치에 올려놓아 생명을 구하는 역할을 할 수 있다. 모든 조직은 사이버보안에 대응할 때 사후 대응이 아닌 사전 예방적 태도를 취해야 한다”고 강조했다.
한편, 아크로니스 관계자는 “자사와 파트너십을 통해 MSP 및 MSSP의 역량을 효과적으로 확보할 수 있다. 사이버 프로텍트 클라우드는 액티브 프로텍션으로 랜섬웨어를 탐지하고 차단하며, 백업 및 재해 복구 솔루션은 시스템 손상 시 의료 시설을 신속하게 백업하고 운영할 수 있도록 지원한다”고 설명했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.31.] 제한된 예산, 인력 부족, 레거시 시스템 등... 의료 사이버보안 무너뜨릴 취약점 7가지](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
