Home > 전체기사

미국 FDA, 의료기기 보안 개선 위한 가이드라인 발표

  |  입력 : 2014-10-06 11:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

의료기기 생산자에게 초점을 맞춘 보안 대책

일부에선 부족한 부분이 많다는 목소리 일어


[보안뉴스 문가용] 의료기기 산업이 빠르게 발전함에 따라 안전함과 투명함에 더 만전을 기할 필요가 늘어나고 있다. 이에 발맞추어 미국식품의약국(이하 FDA)은 새로운 산업 가이드라인을 발표했다. “모든 위협에 면역인 의료기기라는 건 없습니다.” FDA의 의료기기 및 방사선 보건센터의 위기대응 및 의료 조치 책임자인 수잔 슈와츠(Suzanne Schwartz) 박사는 분명한 선을 긋는다. “중요한 건 의료기기 생산자들이 사이버보안에 대한 경각심을 늘 가지고 있는 것이죠. 그리고 그 경각심을 바탕으로 환자들을 보호할 수 있어야 합니다.”

 

 ▲ 안심하고 입 벌리세요. 모든 것이 보호됩니다.

이번에 발표한 새로운 가이드라인을 통해 FDA는 펌웨어나 프로그램이 가능한 로직 등 소프트웨어가 설치된 의료기기나 보조기구를 단계별로 보호할 것을 권장하고 있다. 또한 이번 달 대중을 대상으로 한 워크샵도 열어 이에 대한 토론을 계속 이어갈 예정이다.


환자들과 환자들의 정보를 안전하게 보호하기 위해 FDA는 개발자들이 다음 사항들에 특별한 주의를 기울일 것을 당부했다.

- 자원, 위협, 취약점을 확실히 파악하라

- 해커가 위협요소나 취약점을 공략했을 때 발생할 수 있는 충격이나 기능 이상, 그것이 최종사용자에게 미치는 영향을 펑가하라

- 위협이나 취약점이 공략될 가능성을 평가해 등급을 정하라

- 리스크 수준과 충격감소 전략을 정하라

- 잔여 리스크와 리스크 수락 판별 기준을 정립하라


최근 PwC에서 발표한 보고서에 따르면 의료산업 종사자나 소비자의 47%가 웨어러블이나 자동 제약 시스템과 같은 신기술을 이미 차용하고 있는 것으로 드러났다. 그러나 이중 최소한의 보안 대책을 마련한 건 53%에 불과했다.


FDA에서 발표한 이번 가이드라인을 두고 일부에서는 아직도 많이 부족하며, 시점도 대단히 늦었다고 평하기도 한다.


“FDA에서 최근 발표한 의료기기 보안을 위한 가이드라인은 생산자 시점에서 해야 할 보안 조치에 편중되어 있습니다. 하지만 기기에 대한 보안조치가 결코 답이 될 수 없다는 건 BYOD 방면에서 보안을 담당하고 있는 관리자 한 사람만 만나도 명확해집니다.” 워치독스(WatchDox)의 최고제품담당자인 라이언 칼렘버(Ryan Kalember)의 설명이다.


“BYOD가 보안의 측면에서 봤을 때는 너무나 큰 취약점이라 보안 업계는 연구에 연구를 거듭할 수밖에 없었습니다. 그렇게 나온 결론은 ‘데이터가 열쇠’라는 것이죠. 의료 데이터는 기기 안에 영원히 머무르지 않습니다. 데이터가 데이터로서 효력을 발휘하려면 누군가가 접근해야 하고 분석해야 하며 재조합되어서 보고가 되어야 합니다. 그러므로 데이터는 태생적으로 취약할 수밖에 없는 것입니다. 그래서 이번 FDA의 가이드라인이 허공에 펀치를 날린 것 같은 느낌이 납니다.”


로그리듬(LogRhythm)의 최고기술책임자이자 공동창립자인 크리스 피터슨(Chris Peterson)은 FDA가 이번 가이드라인 작성에 너무 긴 시간을 소요했다는 의견이다. “의료산업 역시 내부 위협보다 외부 공격자에 훨씬 오랜 시간 많은 대비를 해왔다는 면에서는 다른 산업과 별로 다를 게 없습니다. 이게 무슨 의미냐 하면, 한번만 침입에 성공하면 활개치고 다니기 좋은 환경이 조성되어 있다는 것입니다.”


“그러나 의료기기 산업이 다른 산업에 비해 특이한 점이 있다면 그건 사이버 위협을 전혀 고려하지 않은 채 제작된 IP 연결 기기들의 수입니다. 의료기기 생산자들이 제일 먼저 생각하는 건 환자들의 필요입니다. 의료기기 특성상 건강과 생명이 먼저이지 기기 자체의 정보 보호가 1순위일 수는 없지요. FDA는 이 점에서 한 발짝 나아가기를 권고하고는 있지만 이미 전 세계 수많은 의료 현장에서 사용되고 있는 수백만 개의 IP기반 기기들에 대한 고려사항은 전혀 보고서에 넣지 않았습니다.”


또한 최근 유행하고 있는 서드파티 우회공격을 감안해보면 기기뿐 아니라 파트너 및 공급업체와의 연결 시스템도 보안 조치 가이드라인에 넣어야 할 것으로 보인다. 현재까지 발표된 FDA의 의료기기 가이드라인은 다음 링크에서 열람이 가능하다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화