의료기기 사이버공격 피해를 줄이기 위해 기기 개발 단계부터 배포, 폐기 순간까지 취약점을 파악해서 보안에 대비해야 한다는 전문가 조언이 나왔다.
방지호 한국기계전기전자시험연구원 정보보안센터장은 지난 12일 한국스마트의료기기산업진흥재단이 주최한 ‘의료기기 SW 글로벌 경쟁력 강화를 위한 국제 세미나’에서 의료기기 사이버공격 피해 심각성을 강조하면서 이 같이 말했다.
방 센터장은 의료산업 ICT 기술 접목이 활발해지고 네트워크를 기반으로 하는 의료기기가 늘어나고 있는 점을 짚으며 보안의 중요성을 역설했다.
그는 “의료기기에 소프트웨어를 탑재하는 사례가 늘어나면서 단순히 기계적 오류를 넘어선 보안사고가 일어나고 있다”고 지적했다.
그러면서 “의료기기를 개발할 경우 개발 단계부터 배포, 폐기 순간까지 취약점을 파악해 사이버보안에 대비해야 한다”고 조언했다.
방 센터장은 특히 “소프트웨어를 개발할 경우 어떤 하드웨어에 탑재할 것인지, 하드웨어 제조사는 어떤 곳인지, 소프트웨어 생명주기는 어느정도인지 등 다양한 관점에서 취약 요소를 민감하게 바라봐야 한다”고 말했다.
실제 체외용 인슐린 주입기를 해킹해 원격으로 인슐린 농도를 인위적으로 조작하거나, 이식형 심장박동기를 해킹해 가동을 멈추거나 환자 심장박동을 인위적으로 조작해 피해를 겪는 사례가 등장하기도 했다.
특히 의료기기로 진단한 데이터가 사이버공격으로 변조될 경우, 부정확한 진단이나 불필요한 시술을 야기할 수 있기에 보안에 대한 경각심이 필요하다.
이에 정부도 의료기기 보안을 강화하기 위해 2019년 11월 의료기기 허가 고시를 개정해 사이버보안 자료 제출을 의무화하고 의료기기 사이버보안 허가심사 가이드라인을 발간했다.
2020년 4월에는 사이버보안 전담심사를 위한 디지털헬스기기TF팀을 운영하기 시작했으며, 올해 초 의료기기 사이버보안 허가심사 가이드라인 개정한 상태다.
방 센터장은 “사이버공격 피해를 줄이기 위해서는 물리적 출입 통제가 우선”이라고 말했다.
그는 “물리적인 출입 통제가 있는 제한 구역 내 의료기기를 배치해 권한이 있는 담당자에게만 접근을 허용해야 한다”고 덧붙였다. 여기에는 USB 드라이브 등 이동식 매체 사용 제한도 포함된다.
네트워크 격리 및 분리도 필요하다. 그는 "의료기기를 병원 네트워크에서 격리하고, 가상 근거리 통신망을 설정하는 등 필요한 네트워크 통신만 방화벽 포트를 열어야 한다"고 주장했다.
데이터 백업과 지속적인 모니터링도 핵심이다.
방 센터장은 “재해 발생시 손실을 최소화하기 위해 백업 및 복원 절차를 지속적으로 이행하고, 의심스러운 활동이 있는지 백신 프로그램 등을 설치해서 모니터링이 필요하다”고 덧붙였다.