세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
국내 의료기관들이 궁금해 하는 보안이슈 3 : 랜섬웨어, ISMS, 의료기기 해킹
  |  입력 : 2017-08-25 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 감염, 진료정보 유출 등으로 곤혹 치루는 병·의원들
ISMS 인증 의무화 대상 대형병원 43곳 중 취득 병원 6곳 불과
‘의료기관 사이버보안 워크숍’, ISEC 2017 동시개최 행사로 9월 6일 열려


[보안뉴스 권 준 기자] 최근 들어 의료기관의 사이버 보안 이슈들이 사람의 생명을 위협하는 수준으로까지 확대되고 있다. 병·의원 등 의료기관 홈페이지의 화면 변조(디페이스) 공격을 비롯해 민감한 진료·환자 정보 유출, 그리고 랜섬웨어 감염에 따른 병원업무 마비 사태도 최근 전 세계적으로 잇따라 발생하고 있는 상황이다.

[사진=iclickart]


더욱이 최근에는 사물인터넷(IoT) 기기라고 할 수 있는 의료기기 해킹을 통해 환자의 생명을 해칠 수 있다는 연구결과가 연이어 발표되면서 사이버 보안위협이 의료 분야의 가장 큰 골칫덩이가 되고 있다. 이는 통계 수치에서도 입증된다. 전 세계 의료 산업에 대한 대규모 사이버 공격은 전년대비 63% 증가한 것으로 집계됐다. 관련 연구자들은 의료기기에 백도어를 사용한 탈취가 증가하고 있다는 점을 발견하기도 했다.

특히, 지난 7월 말 열렸던 세계적인 해킹보안 컨퍼런스인 데프콘에서는 해커가 병원의 약물 주입 펌프를 어떻게 해킹할 수 있는지 시연함으로써 많은 이들에게 공포를 안겨줬다. 이런 펌프는 일반적으로 정맥에다 놓기 때문에 ‘정맥 펌프(IV Pump)’라고도 불리는데, 성인·유아·신생아 환자에게 약물·액체·혈액을 전달하는 예민하고 값비싼 의료 기기라고 할 수 있다.

이러한 정맥 펌프를 해킹할 경우 이를 통해 개인정보를 탈취하거나 랜섬웨어·디도스 공격까지 가능할 뿐만 아니라 환자에게 주는 약물 투여량을 마음대로 조절할 수도 있어 해커가 마음만 먹으면 환자를 사망케 할 수도 있다는 것이다.

이렇듯 의료기관에 대한 사이버 보안 위협이 증가하자, 국내에서도 대형병원을 대상으로 정보보호관리체계(ISMS) 인증을 의무화하는 등 의료기관의 사이버 보안 강화를 위해 다각도의 대책을 마련하고 있다.

그러나 대형병원의 ISMS 인증 취득 현황은 아직 미흡한 것으로 드러났다. 본지 확인결과, ISMS 의무화 대상인 43곳의 대형병원 가운데 실제 인증을 취득한 병원은 6곳에 불과한 것으로 알려졌다. 병원들의 경우 다른 분야보다 상대적으로 낮은 보안의식과 보안조직·보안담당자 부재 등으로 체계적인 정보보호 대책 마련에 어려움을 겪고 있기 때문이다.

▲ 의료기관 사이버보안 워크숍 프로그램[자료=ISEC 조직위원회]


이러한 가운데 오는 9월 6일 삼성동 코엑스 콘퍼런스룸(북) 203호에서는 보건복지부 후원으로 ‘의료기관 사이버보안 워크숍’이 개최될 예정이라 관심이 모아지고 있다. 국제 사이버 시큐리티 콘퍼런스 ‘ISEC 2017’의 동시 개최 행사로 열리는 이번 워크숍에서는 의료기관의 IT·보안담당자들이 궁금해 하는 다양한 보안이슈들을 다룬다.

먼저 ‘보건의료 분야 사이버안전 체계 강화방안’을 주제로 보건복지사이버안전센터의 이성훈 수석이 강연하며, 이어서는 랜섬웨어와 진료정보 유출 등 ‘의료분야 정보보호 3대 이슈’를 주제로 고려대 한근희 교수가 발표에 나선다.

두 번째 강연이 끝난 이후에는 코엑스 그랜드볼룸 로비에 마련된 70여개의 정보보호 전문업체들의 부스를 방문해 의료 분야 주요 정보보호 솔루션을 직접 시연해보는 기회를 가질 예정이다.

이어 건강보험심사평가원 이용곤 부장이 ‘현장사례 중심의 의료분야 개인정보보호 관리 방안’을 주제로 발표하며, 마지막으로 ‘정보보호 관리체계(ISMS) 인증준비 유의사항’에 대해 한국인터넷진흥원 김선미 팀장이 강연을 진행한다.

한편, ‘의료기관 사이버보안 워크숍’이 동시 개최되는 ISEC 2017(Information Security Conference 2017 : 국제 사이버 시큐리티 콘퍼런스 2017)은 유관부처인 행정안전부가 주최하고, ISEC 2017 조직위원회와 세계 최대 보안전문가 단체 (ISC)², 보안뉴스가 공동 주관하며, 국방부, 과학기술정보통신부, 방송통신위원회 등 정부부처를 비롯한 30여 개에 달하는 사이버 보안 관련 기관·협회·단체가 후원해 9월 5~6일 양일간 열리는 아시아 최대 규모의 국제 사이버 시큐리티 콘퍼런스다.

이번 ISEC 2017에서는 ‘의료기관 사이버보안 워크숍’ 뿐만 아니라 전 세계 46개국 국방차관급 고위관료가 내한하는 2017 서울안보대화의 사이버 워킹그룹 행사와 이스라엘 사이버 보안 콘퍼런스 및 바이어상담회, 3군 합동 사이버안보 워크숍, 지방자치단체 정보보호 담당자 워크숍, 서울시 사이버보안 워크숍, CISO워크숍, CPO워크숍 등 10여개에 이르는 워크숍 및 콘퍼런스가 동시 개최되는데, 정부부처 및 기업의 CPO 및 CISO은 공무원 상시학습 및 보안자격증의 교육 이수가 가능하다.

정부부처·공공기관·기업의 CISO나 CPO, 그리고 보안담당자나 개인정보처리자 등은 ISEC 2017 홈페이지(http://www.isecconference.org/2017/)를 통해 사전 참관등록을 하면 무료 참관이 가능하다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)