2021년 12월 28일
의료기기 보안 위협 요소와 대응방안
I. 스마트의료 위한 의료기기 시스템 모델과 안전성 확보의 필요성
| 의료기기 시스템 모델 |  |
|---|---|
| 의료기기 안전성 확보 필요성 | – 의료기기 시스템 모델은 데이터 흐름에 따라 의료기기, 게이트웨이, 네트워크, 서버, EMR, 의료기기 취급자의 6가지 구간으로 정의하며, 의료기기의 경우 구형 장비가 다수 존재 하므로 보안에 취약한 경우가 많아 보안 위협에 따른 안전성 확보가 필수적으로 요구됨 |
- 의료기기 보안 취약점 해소는 안전한 스마트 의료의 기반으로 국민 생활 건강 확보에 필수 요소
II. 의료기기 보안 위협 요소
가. 의료기기 보안 위협 구성도
 |
나. 의료기기 보안 위협 유형
| 구분 | 보안 위협 | 위협 대상 및 영향도 |
|---|---|---|
| 기기 H/W 측면 | 의료기기 분실/도난 | – 의료기기 H/W 대상 기기상태, PHI 유출 및 노출 |
| 표적화된 공격 | – 입출력 정보 알람, 모터, 센서, 프로그램 정보 유출 | |
| 상용 OS 측면 | 에어-캡 공격 | – I/F 대상 웜, 바이러스, 랜섬웨어 등 악성 코드 유입 |
| 상용 의료 제품 취약점 | – 상용제품 자체 취약점, 제품 공급망 위협 | |
| 내부자 공격/인증 취약점 | – 키보드, 마우스 U/I 대상 내부자 공격, 인증 우회 | |
| 의료 네트워크 공격 | – 의료 네트워크 대상 공격 벡터, PHI 위반/가로채기 | |
| 건강정보 저장장치 공격 | – 스토리지, 메모리 대상 버퍼오버플로우, 메모리악용 | |
| 관리 및 통제측면 | 안전/측정치 무시 | – 안전 설정, 측정값 불법 변경에 따른 오작동 |
- 병원에 설치된 다수 의료기기는 구형 장비로 구형 S/W가 탑재, 보안 미고려 설계와 보안 업데이트가 제공되지 않고 다수 외산 의료기기로 인해 보안대책 마련이 어려우므로 대응 방안을 수립하여 보안 기술 및 방안 적용
III. 의료기기 보안 위협 대응방안
| 대응 방안 | 적용 기술 및 방안 | 적용 시 고려사항 |
|---|---|---|
| 의료기기 시스템 하드닝 | 시큐어 코딩, 인증, 접근통제, 암호화 적용 | – 인증 제품 사용, 시스템 구성 및 보안 설정 – 초기 비밀번호 변경, 패스워드 하드코딩 제한 |
| 펌웨어 버저닝 및 보안 패치 | 펌웨어 업그레이드 및 보안 패치 적용 | – 펌웨어 다운로드 암호화 및 무결성 검사 – 기존 시스템에 영향 발생 여부 검토 및 테스트 |
| 개인화 의료 데이터 백업 | 환자 데이터 생명주기 관리(DLM) 적용 | – 저장 데이터와 로그 데이터 대한 주기적 백업 – 백업 데이터 암호화, DR 센터 구축, 복구 훈련 |
| 패스워드 관리 및 기기 인증 | 암호화, SSL/TLS, NAC 기반 보안 정책 적용 | – 패스워드 암호화 및 변경 주기 정책 수립 – 등록된 의료기기만 인증 및 정보 공유 |
| 의료정보 접근, 수정, 삭제 추적 | 의료기기 로깅 적용 및 개인정보 암호화 | – 응급 상황 미인증 긴급 정보 접근 시 로깅 – 로그 중 개인정보 등 민감정보 암호화 저장 |
| 이동식 의료기기 관리 및 폐기 | 이동식기기 FIDO 적용, 폐기 시 디가우징 처리 | – 분실/도난으로 인한 위험성 고려 인증, 암호화 – 반출 및 폐기 시 의료 데이터 복구 불가 삭제 |
| 의료기기 보안사고 대응 체계 수립 | 비상연락망 구성 및 컴플라이언스 준수 | – 보안 사고 시 지원, 협조 비상연락 체계 수립 – 의료기기법, 개인정보보호법 인허가 준수 |
- 의료기기는 사람의 건강·생명에 직접적인 영향을 주는 인체상호작용 기기로 보안성의 확보가 매우 중요하며, 의료기기 보안은 시판 전 설계 단계부터 보안을 내재화하여 개발하는 전략과 시판 후 운용중인 매우 오래된 의료 기기로 인한 위협 대응까지 전사적인 접근이 필요
- 스마트 의료 서비스를 위해 HL7, DICOM 등 의료 기기 호환성 확보 및 ISO25237, ISO27799 등 의료 정보 관리를 위한 의료 기기 표준 준수 필요
[참고]
- 한국정보통신기술협회(TTA), TTA 저널 197호, 의료기기 정보보호 요구사항
- 한국정보통신기술협회(TTA), TTAK.KO-12.0372, 의료기기 정보보호 요구사항
- 한국인터넷진흥원(KISA), 스마트의료 사이버보안 가이드
About The Author
