IoT 의료기기 노리는 랜섬웨어…보안에 ‘빨간불’

- Advertisement -

의료사물인터넷(출처:Cynerio)

인터넷에 연결해 사용하는 의료기기 과반이 해킹에 취약한 것으로 드러났다.

최근 의료 사이버 보안회사 사이네리오(Cynerio)는 ‘2022년도 IoT 의료기기 보안현황’ 보고서에서 이 같이 밝혔다. 보고서에는 전 세계 300개 이상 병원과 의료시설에서 쓰이는 사물인터넷(IoT)과 의료사물인터넷(IoMT) 기기 분석한 결과를 담았다.

해킹 위험 도사리는 IoT 의료기기

보고서에 따르면 IoT 의료기기의 53%가 심각한 해킹 위험에 노출돼 있었다.

특히 병원이나 의료기관에서 흔히 사용되는 정맥펌프(IV pump)는 73%가 보안에 취약했다. 환자용 모니터, 혈당측정을 위한 글루코미터(Glucometer), 정기적 약 복용을 지원하는 메디신 디스펜서(Medicine Dispenser)도 취약한 기기로 꼽혔다.

사이버보안이 취약한 의료기기는 환자에게 큰 위험이 된다. 예컨대 해커가 개인정보를 탈취하거나, 의료기기 접근 권한을 빼앗고 몸값을 요구할 수도 있다. 디도스 공격에 활용되거나 더 큰 해킹을 위한 발판이 될 가능성도 적지 않다.

보고서는 “(IoT 의료기기가) 공격받으면 서비스 가용성, 데이터 기밀성 또는 환자 안전에 영향을 미칠 수 있다”며 “이는 환자 치료에 있어 잠재적으로 생명을 위협하는 결과를 초래한다”고 우려했다.

이어 “지난 1년간 병원과 의료기관에 대한 전례 없는 랜섬웨어 공격이 발생했다”며 “의료기기 위험은 환자가 사이버 공격과 데이터 보안 문제로부터 취약하게 한다”고 덧붙였다.

IV 펌프(출처:Cynerio)

랜섬웨어, IoT 의료기기 노린다

의료기기를 탈취해 몸값을 요구하는 랜섬웨어 공격도 지난해 증가했다. 보고서에 따르면 2021년 500건이 넘는 랜섬웨어 공격이 발생했다. 전년과 비교하면 123% 증가한 수치다.

피해도 만만치 않다. 같은 해 랜섬웨어로 인한 피해액은 210억 달러로 추산된다. 이로 인해 병원과 의료시설이 받은 피해는 평균 800만 달러, 복구까지 걸린 시간은 평균 287일에 달한다.

IoT 의료기기의 46%는 리눅스 기반이다. 윈도우 대비 덜할지 모르지만 해킹 위험이 없는 것은 아니다는 설명이다. 문제는 윈도우를 사용하는 기기다. 사용 비중은 전체 10%에도 못 미치지만 보안에 취약한 구버전 사용률이 높다.

윈도우 IoT 의료기기 중 구버전 이용 비율을 보면 약리학이 65%로 가장 많았다. 이어 종양학 53%, 영상의학 43%, 신경의학 31%, 외과 10% 순이었다. 이들 기기는 보안에 더욱 취약한 윈도우10 이하 운영체제를 탑재하고 있었다.

보고서는 “윈도우는 IoT 의료기기의 가장 큰 비중을 차지하지는 않지만 환자의 직접적인 치료를 책임지는 병원 부서에 치중되는 경향이 있다”고 전했다.

(출처:Cynerio)

윈도우 사용 IoT 의료기기, 업데이트 필요

구버전 윈도우는 지원을 받기 어렵기에 보안에 더욱 취약하다. 또 대부분 악성 프로그램과 랜섬웨어가 윈도우 기기를 공격하도록 설계돼 있다.

보고서는 이들 기기가 사용하는 윈도우 운영체제를 최신 버전으로 업데이트할 것을 권고했다. 윈도우10 이상 운영체제는 보안 수준이 높고, 해킹 위험을 사전 식별해 문제를 해결할 수 있다는 이유에서다.

다니엘 브로디 사이네리오 최고기술경영자(CTO)는 “사이버 보안에 대한 지속적인 투자가 있었지만 환자들을 진료하는 의료기기에 여전히 치명적인 취약점이 남아 있다”며 “의료기기 보안 제공자로서 모두가 나서야 한다”고 말했다.

(출처:식약처)

국내도 IoT 의료기기 사이버보안 강화

IoT 의료기기 해킹은 비단 해외에만 국한되지 않는다.

식품의약품안전처는 인슐린 펌프에 무단 접속해 기기 오작동을 유발하는 사례, 환자 모니터를 해킹해 경보를 막는 사례, CT 영상을 조작해 오진을 유도하는 사례 등이 국내에서 발생할 수도 있다고 본다.

식약처는 이 같은 사례를 예방하기 위해 지난달 말 의료기기 사이버보안 허가 및 심사 기준을 개정했다. IoT 의료기기에 대한 보안 사고를 예방하기 위해서다. 이에 따라 국내 의료기기 사이버보안 기준은 국제의료기구규제당국자포럼(IMDRF) 기준을 따르게 됐다.

IMDRF 기준을 적용하면 IoT 의료기기 보안 수준은 크게 높아질 전망이다. 제조사들은 안전한 통신환경 조성, 데이터 보호, 기기 무결성, 사용자 인증 권한, 소프트웨어 유지보수, 물리적 접근 통제수단 마련을 위한 수단을 마련해야 한다.

테크플러스 에디터 윤정환

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here


Related Stories