ENISA : 의료 및 보건 부문은 견고한 사고 대응 능력(IRC) 구축이 시급해

NIS(네트워크 및 정보보안) 지침은 EU 사이버 보안 법률의 일부이며 핵심은 EU 회원국의 중요 정보 인프라를 보호하는 것이다.  NIS 지침 시행 이후 의료 및 보건 부문은 핵심 정보 인프라 중 하나였으며 의료 및 보건 부문의 IRC(사고대응능력)의 현재 개발 현황과 관련하여 최근 유럽연합 사이버보안국(ENISA)가 발표한 보고서에서 해당 내용이 자세히 공개되어 있다.

보고서에 따르면 사물 인터넷, 인공지능, 빅데이터 및 클라우드 컴퓨팅과 같은 새로운 기술의 채택으로 네트워크 보안에 대한 위협의 정도가 점차 증가하고 있다. 작년 ENISA에 보고된 사이버 보안 사고 건수는 전년 대비 47% 즏가했다. 주요 정보 인프라중 하나인 의료 및 보건 분야는 심각한 보안 위협에 직면해있다. 물론 보고서에 따르면 EU 회원국은 보건 분야 전담 CSIRT(Computer Security Incident Response Team)을 구축하지 않았지만 보건 분야에 대한 CSIRT 협력이 지속적으로추진되고 있다고 언급되어 있다.

현재 의료 및 보건 분야가 직면한 또 다른 과제는 연결된 기기의 증가로 인해 시스템이 복잡해진다는 점이다. 예를 들어 의료 기기의 평균 수명은 약 15년 정도인데 의료기기는 일반적으로 패치가 적용되지 않은 상태로 장기간 유지되기 때문에 시스템 內 장비에 대한 공격의 위험은 계속 확대되고 있다.

이 같은 문제들로 ENISA의 보고서에는 다음과 같은 권장사항이 제시되어 있다.

  • 보안 분야 투자 및 이에 상응하는 인센티브 조치를 통해 보건 부문에서 CSIRT 구축을 강화하고 촉진한다.
  • OES(Original Parts Supplier)가 IR 역량을 향상할 수 있도록 관련 규정 및 특정 부서의 협력 협약을 개선한다.
  • 위협 인텔리전스 등 정보 공유 활동을 수행하고 보건 부문의 CSIRT 역량을 지속적으로 강화한다.

 

[출처 : 中 보안매체 / 11.15.]