Home > 전체기사

의료기기의 사이버보안, 어디까지 적용해야 하나

  |  입력 : 2021-05-30 23:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2021년 의료기기 사이버보안 민원설명회에서 나온 질의응답 중심으로 살펴보니
정부, 의료기기 사이버보안 허가심사 가이드라인 발간...사이버보안 전담심사 담당팀 신설


[보안뉴스 원병철 기자] 의료산업 분야의 ICT 기술이 발전하고, 네트워크 기반의 의료기기가 늘어나면서, 이를 노리는 사이버공격 또한 증가하고 있다. 한 보도에 따르면, 지난 10년간 미국 병원에서 발생한 사이버공격은 무려 1,461회에 달하며, 특히 랜섬웨어 공격으로 수술을 기다리던 환자가 예정된 시간에 수술하지 못해 사망하는 사건도 발생했다. 한국의 병원들 역시 보안에 취약한 것으로 알려졌다.

[이미지=utoimage]


문제는 대부분의 사이버 공격이 주로 기관 및 기업의 주요 기밀이나 사용자 및 고객의 정보를 노리는 것과 달리, 병원 등 의료산업은 의료기기라는 또 하나의 보안 홀이 존재한다는 사실이다. 현재 병원 등 의료현장에서 사용하는 많은 의료기기들은 통신, 즉 네트워크를 연결해 사용하는 경우가 대부분이다. 예를 들면, 수술용 기기 등은 유무선 통신을 이용해 제어되며, 이식형 의료기기 역시 무선통신을 이용해 의료기기 정보나 생체신호를 송수신하고 기기를 제어한다. 최근 이슈인 u-헬스케어 의료기기는 원격진료를 위해 의료기관 이외의 장소에서 개인의료정보 및 생체정보를 측정·수집하고, 이를 의료기관에 전송·저장한다.

이에 정부에서는 의료기기의 보안을 강화하기 위해 2019년 11월 의료기기 허가 고시를 개정해 사이버보안 자료 제출을 의무화하는 한편, 의료기기 사이버보안 허가심사 가이드라인을 발간하고, 2020년 4월 사이버보안 전담심사를 위한 디지털헬스기기TF팀을 운영하기 시작했다.

이제 유무선 통신을 이용해 환자의 생체정보 등 개인의료정보를 송·수신하는 의료기기와 유무선 통신을 이용해 기기를 제어할 수 있는 의료기기, 또한 유무선 통신을 이용해 펌웨어 또는 소프트웨어 업데이트 등 유지보수하는 의료기기 등은 허가심사를 받아야 한다.

의료기기 사이버보안 요구사항은 ①식별 ②보호 ③탐지 ④대응 ⑤복구의 5단계로 분류하고. 각 분류별 세부 요구사항을 총 24개 항목으로 제시하고 있다. ①식별은 제조자가 사이버보안 위험을 확인하고 평가하는 과정을, ②보호는 사이버보안을 보장하기 위해 필요한 보호 수단을 개발하는 과정을, ③탐지는 사이버보안 사고 발생을 탐지할 수 있는 적절한 활동을, ④대응은 사이버보안 사고에 대한 조치를 취하기 위한 필요한 행동을, ⑤복구는 의료기기 사이버보안 사고로 손상된 의료기기의 기능을 복구하기 위한 활동을 말한다.

[Q&A를 통한 의료기기 사이버보안 적용 기기]
의료산업에서 이번 의료기기 사이버보안 허가심사와 관련해 가장 궁금해 하는 것은 바로 ‘사이버보안 자료 제출 대상 여부’다. 이 때문에 식약처에서도 11월까지 총 6회에 걸쳐 ‘의료기기 사이버보안 온라인 민원설명회’를 개최해 관계자들의 민원해결에 나서고 있다. 특히, 식약처는 ‘의료기기 사이버보안 FAQ’를 통해 민원 등을 통해 들어온 Q&A를 공개했는데, 주요 내용을 살펴보면 다음과 같다.

Q. 제품에 LAN 포트가 있지만, 프린터만을 연결하기 위한 목적일 경우 사이버보안 자료 제출 대상인가?
A. 신청제품과 프린터의 통신목적이 ①검사지 출역을 위한 치료 매개변수 송수신(개인의료정보 송수신)이나 ②기기 사용 기록 송수신(소프트웨어 유지보수) 등이라면 제출 대상이다.

Q. 전기수술기에서 제품의 품질개선을 위해 사용 후 제조원 서버로 데이터(환자 개인 정보를 포함하지 않고 제품 사용 시간 및 출력값 등의 통계 데이터)를 전송할 때도 대상인가?
A. 제품의 품질개선을 위한 통신은 소프트웨어 유지보수에 해당하므로 사이버보안 자료 제출 대상이다.

Q. 연성요관경 및 내시경용광원장치에서 HDMI 케이블과 같이 단순하게 영상을 컴퓨터 또는 영상장치로 전송해주는 유선 케이블 포트가 있는 경우에도 사이버보안 자료 제출 대상인가?
A. 해당 제품은 유선 통신(HDMI)으로 개인의료정보(환자 의료 영상)를 송수신하므로 사이버보안 자료 제출이 필요하다. 다만, 수술실과 같이 통제된 환경에서 제한된 시간에만 사용되는 의료기기는 위험분석을 통해 일부 항목의 안전성을 입증할 수 있다.

Q. 공용 네트워크를 사용하지 않는 제품은 사이버보안 자료 제출 대상인가?
A. 공용 네트워크(인터넷, 와이파이, 모바일 통신 등)를 사용하지 않더라도 개인의료정보 송수신, 기기제어, 소프트웨어 유지보수를 위한 유무선 통신기능(예를 들면, USB, 블루투스, RS232 통신 등)이 있는 경우에는 사이버보안 자료 제출 대상이다.

Q. 유선통신 및 블루투스를 이용해 기기(전기수술장치, 엑스레이 장비 등)의 동작을 제어하는 구성품(풋 스위치 등)이 포함된 경우는?
A. 유무선 통신을 이용해 기기를 제어하는 경우는 사이버보안 자료 제출 대상이다. 다만, 제품을 제어하기 위해 범용통신포트(LAN, USB, RS232 등)가 아닌 해당 제품에만 전용으로 사용되는 포트(제조사 자체 제작 풋 스위치, 핸드피스 케이블 등)일 경우에는 사이버보안 침해 가능성이 낮은 것으로 판단해 요구하지 않는다.

Q. 통신 방법과 관련 없는 기능만 변경된 경우 사이버보안 자료 제출 대상인가?
A. 통신방법(예를 들어, USB를 RS232나 LAN 등) 및 통신목적(소프트웨어 유지보수에서 소프트웨어 유지보수 및 기기제어)의 변경이 없는 경우에는 사이버보안 자료 제출 대상이 아니다.

Q. 의료용 온습도조절기 제품 중 발생하는 이벤트 기록을 저장하기 위한 SD카드를 사용할 경우는?
A. 의료기기와 직접 통신할 수 없는 포트(SD카드, CD, DVD 등)는 사이버보안 침해 가능성이 낮은 것으로 판단해 사이버보안 자료 제출을 요구하지 않는다.

Q. 제3자 전문기관의 사이버보안 인증을 받으면 해당 인증서 및 성적서로 사이버보안 자료를 제출할 수 있다고 들었다. 국내에 어떤 시험검사기관이 있는지 궁금하다
A. 사이버보안 체크리스트 및 관련 자료(위험관리문서, 성능시험성적서, 소프트웨어 검증 및 유효성 확인 자료)로 사이버보안 전문기관에서 발급한 사이버보안 인증서 및 첨부자료(평가보고서 등)를 제출 가능하다. 사이버보안 인증기관으로는 한국인터넷진흥원(KISA), 시험검사기관으로는 한국기계전자시험연구원(KTC)이 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)