UL insight 2016년 12월호
[UL insight_2016년12월호]
의료기기 사이버 보안과 UL 2900
병원과 헬스케어 업계는 해킹을 비롯한 사이버 범죄의 주요 타깃이 되고 있다. 2016년 헬스케어 업계 내 10억 달러 정도가 사이버 보안에 지출될 것으로 예상된다. 이는 생체 데이터를 기록하거나 의료 기록을 업데이트하고, 이를 통해 제반 치료 과정을 개선하기 위해 더욱 많은 의료 기기와 시스템이 상호 연결된다는 데 기인한다. 하드웨어와 소프트웨어를 포함하여 상호연결에 필요한 기술이 보안에 취약한 경우, 많은 의료 기기가 사이버 위협에 노출될 수 있다.
의료 기기가 사이버 공격을 받게 되면 환자의 의료 기록이 노출되는 것은 물론, 환자와 의료계 종사자의 건강과 안전을 위협할 수 있다. 이러한 헬스케어 산업 내 데이터 침해에 따른 비용은 기록당 360달러에 이를 것으로 추정되는데, 이는 사이버 범죄로 직접적인 영향을 받는 상위 산업군 내 가장 높은 비용에 해당한다. 이에 따라 사이버 공격에 대비한 의료 장비와 시스템의 보안은 의료 기기 제조사에 필수적으로 요구된다.
‘의료 장비의 사이버 보안과 UL 2900 (영문 백서 다운로드)’에서는 상호 연결되는 의료 장비에 대한 사이버 보안 위협과 UL 2900 규격 요건의 적용을 통해 어떻게 대처할 수 있는지에 대해 설명하고자 한다. 의료 기기에 대한 사이버 보안 위협에 초점을 맞추기 앞서 글로벌 시장에서의 사이버 보안 위협 전반과 관련 정부와 유관 기관의 노력에 대해 살펴보고, 기존 규격에 대한 검토에 이어 UL 2900 (Standard for Software Cybersecurity for Network-Connected Devices, 네트워크 연결형 기기의 소프트웨어 사이버보안을 위한 규격)의 위험 관리 및 접근법에 대해 설명할 예정이다. 이와 더불어 상호 연결 기기에 대한 UL CAP(Cybersecurity Assurance Program)과 이를 통해 의료 기기를 비롯한 헬스케어 제품을 만드는 제조사가 얻을 수 있는 혜택에 대해 설명하고자 한다.
헬스케어 업계의 사이버 보안 위협
불과 10년 전만 해도 알려지지 않았던 IT 인프라와 시스템에 대한 사이버 공격은 전세계 정부, 기관, 기업들에 큰 위협이 되었다. 국제 회계 및 자문 기업인 PwC는 2014년에 보고된 IT 보안 사고 건수가 2013년 대비 48% 증가해 거의 4,300만 건에 이르며, 이로 인해 약 10억 개의 데이터 기록이 손상되었다고 본다. 사이버 범죄에 따른 글로벌 경제 비용은 현재 연간 4,000억 달러 이상으로 추정되고 2019년까지 2조 달러 이상 증가할 것으로 예상된다.
기술과 정보 시스템이 발전하면서 환자 진료 패러다임이 변화하고 있으며, 헬스케어 산업은 사이버 공격에 특히 취약한 상황이다. 상호 연결 헬스케어 시스템과 이른바 스마트 의료 기기 시장은 2023년까지 연간 거의 580억 달러에 이를 것으로 예상된다. 그러나 이러한 첨단 의료 기기 대부분은 사이버 보안 위협에 취약하게 만드는 임베디드 컴퓨터 시스템과 무선 기술을 포함한다.
미국 식품의약국(FDA)에 따르면, 헬스케어 시스템과 의료 기기에 직접적인 영향을 미칠 수 있는 취약점은 아래와 같다.
· 멀웨어(Malware, 악성 프로그램)에 감염되거나 비활성화된 네트워크 연결/구성 의료 기기
· 환자 데이터, 모니터링 시스템, 이식된 의료 기기 등에 접근하기 위한 무선 모바일 장비를 타깃으로 한 병원 컴퓨터, 스마트폰, 태블릿 상의 멀웨어
· 의료 기기와 네트워크용 보안 소프트웨어 업데이트 실패
· 상용 소프트웨어의 보안 취약점
· 보안 접근을 대상으로 한 암호의 무분별한 배포
이러한 취약점은 헬스케어 시스템에 대한 사이버 공격의 상당한 증가를 초래했다. 연방 건강정보기술 법(Health Information Technology for Economic and Clinical Health (HITECH) Act)에 따라 공개된 미국 보건복지부(U.S. Department of Health and Human Services, HHS)의 통계에 따르면, 2009년 이후 500건 이상의 환자 기록을 포함하는 개인 건강 정보의 침해가 1,400건 이상 보고되었고 1억 5,000명 이상의 환자에 영향을 미쳤다고 한다. 최근 헬스케어 경영진을 대상으로 한 2016년 설문조사에 따르면 헬스케어 운영 시스템과 임베디드 의료 기기에 대한 공격은 보고된 자료 기준, 2014년부터 2015년까지 4배 증가했으며, 소비자 의료 기술에 대한 공격은 거의 두 배 증가했다.
상호 연결 헬스케어 시스템과 기기에 대한 사이버 공격은 헬스케어 데이터의 가치 때문에 계속해서 증가할 수 있다. 한 조사에 따르면 도난 당한 건강 기록이나 데이터는 신용카드 정보보다 10-20배 높은 가격에 팔리고 있으며, 이러한 점은 해커나 사이버 도둑들의 이목을 끈다. 그 결과 헬스케어에 대한 랜섬웨어 공격 역시 늘고 있다. 예를 들어 2016년 초 캘리포니아 소재의 병원들에 대한 사이버 공격이 있었으며, 해커들은 로스엔젤레스 지역 내 한 병원의 의료 기록 해킹에 대한 대가로 360만 달러를 요구했다. (병원은 위협을 종결시키기 위해 결국 약 17,000 달러를 지불했다.)
일부 전문가는 미래의 랜섬웨어 공격이 환자의 기밀 데이터 외 주입(infusion) 펌프나 심박 조율기와 같은 생명과 직결된 중요 의료 기기를 타깃으로 삼을 수 있다고 전망한다. 이는 다양한 위협 상황의 일부로, 미국 FDA는 2013년 헬스케어 공급업체를 대상으로 사이버 보안 취약점에 따라 컴퓨터로 작동하는 주입 펌프의 사용을 중단할 것을 권고를 발표하기도 했다. FDA는 권한이 없는 사용자가 병원 네트워크를 통해 주입 시스템에 원격으로 접속해 장비를 제어하거나 펌프로 주입되는 약물의 용량을 변경할 수 있다고 경고했다.
사이버 보안과 주요 인프라
사이버 보안 위협을 해결하기 위한 노력의 일환으로, 헬스케어 산업은 “중단되거나 파괴될 경우 시민의 건강, 보안, 재정 등과 국가 정부의 효율적인 기능에 심각한 영향을 미칠 수 있는 IT 자산, 네트워크, 서비스, 설비”로 정의되는, 이른바 주요 인프라로 간주된다. 헬스케어 외에도 주요 인프라로 지정되는 산업으로 국방, 에너지 생산 및 배급, 수도 시스템, 운송 및 배송, 금융 서비스, 공공 안전 등을 들 수 있다.
이러한 중요성 때문에 주요 인프라 산업 내 기업들에 정부 규제의 사이버 보안 요건과 관행을 준수할 것을 요구하고 있다. 예를 들어, 유럽연합(EU)은 ‘주요 인프라 보호 프로그램’(European Programme for Critical Infrastructure Protection, EPCIP)을 통해 운송 및 에너지 산업 내 주요 인프라 기업을 식별하고, 관련 기업에 대한 특정 요건을 제시한다. 또한 EPCIP에는 주요 인프라 자산을 식별하고 자산 취약점에 기반한 세부적인 위협 평가와 사이버 위협에 대한 보호 조치를 설명하는 보안 계획의 개발이 포함된다. 독일, 영국을 비롯한 여러 국가에서는 주요 인프라 기업에 대해 추가적인 사이버 보안 요건을 제시하고 있다.
미국 내 사이버 위협에 대한 주요 인프라 보호는 대부분 자발적으로 관련 규격과 관행을 따르는 것에 기초한다. 2013년 2월에 발표된 대통령 행정 명령 13636 (Presidential Executive Order 13636)인 ‘주요 인프라 사이버 보안 개선’(Improving Critical Infrastructure Cybersecurity) 17은 미국표준기술연구소(National Institute of Standards and Technology, NIST)에 주요 인프라로 지정된 기업에서 적용할 수 있는 위험 기반 사이버 보안 대책 및 관행을 마련할 것을 촉구하였으며, 이에 따라 NIST가 2014년 발표한 사이버 보안 프레임워크는 기업이나 조직 전반의 위험 관리 프로세스 내 사이버 보안 위험을 고려하도록 장려하고, 기존 규격과 가이드라인, 관행을 기초로 사이버 위협을 줄이기 위한 체계적인 지침을 제공한다.
의료 기기의 사이버 보안에 대한 FDA 가이드라인
FDA는 의료 기기의 사이버 보안 문제에 대해 두 종류의 지침을 발표한 바 있다. 2014년에 발표된 첫 번째 지침은 의료 기기의 사이버 보안 관리에 대한 시판 전 제출(premarket submissions) 사항에 대해 다룬다. 해당 지침은 특히 의료 기기 제조사가 제품을 설계하고 개발할 때 고려해야 하는 사이버 보안 사항을 포함한다.
지침은 제조사가 다음 5가지 요소를 고려한 위험 관리 방식을 따를 것을 권고한다.
· 자산, 위협, 취약점 파악
· 위협과 취약점이 기기의 성능과 사용자/환자에 미칠 수 있는 영향 평가
· 위협과 취약점이 악용될 가능성에 대한 평가
· 위험 수준과 적절한 대응 전략의 결정
· 잔존 위험과 위험 수용 기준 평가 영역
또한 FDA의 사이버 보안에 대한 지침은 시판 전 제출에 포함되어야 하는 문서에 대한 특정 권고 사항을 포함한다. 해당 기기를 설계할 때 고려한 모든 사이버 보안 위험 목록과 이를 해결하기 위해 시행된 관리 목록이 여기에 해당된다. 또한 제조사는 해당 기기의 사용 목적에 부합하는 사이버 보안 관리 권장 사항을 포함한 시판 전 제출 사용자 지침을 제공해야 한다.
또 다른 지침은 시판 후 의료 기기의 사이버 보안에 대해 다룬 초안 지침으로, 2016년 1월 FDA가 발표한 바 있다. 지침 초안은 의료기기 출시 이전에 사이버 보안 위험을 해결하기 위해 최대한 노력한다고 해도 한계가 있다는 점을 인정한다. 이에 따라 지침 초안은 의료 기기 제조사가 시판 후 일상적인 관리, 감독 활동의 일환으로 사이버 보안 취약점을 모니터링, 식별, 해결하도록 권고한다.
지침 초안은 특정 취약점이 의료 기기의 필수 성능을 손상시키고, 사망이나 심각한 인체 부작용을 일으킬 가능성이 있다고 나타나는 경우는 제조사가 FDA에 통보하도록 권고한다. 또한 사이버 보안 정보 공유 및 분석 조직(Cybersecurity information sharing and analysis organization, ISAO)에 참여하여 사이버 보안 정보를 적시에 활용하고 경쟁 우위를 확보할 것을 권장한다.
특정 권고 사항 외에도, 의료 기기의 사이버 보안에 대한 FDA의 두 지침 문서는 앞서 언급한 NIST 프레임워크를 참조하고 위험 관리 계획에 프레임워크 핵심 요소를 통합할 것을 권고한다.
FDA 지침 문서는 사실상 권고 사항이며, 법적 효력이 없음에 유의해야 한다. 그러나 지침 권고 사항을 준수하지 않을 경우, FDA의 시판 전 승인 검토가 늦춰질 가능성이 있고, 안전하지 않은 시판 제품에 대해 제제를 받을 수 있다. 따라서 FDA 지침 문서에 포함된 권고 사항을 준수하는 것이 바람직하다.
상호 연결형 의료 기기에 대한 사이버 위험에 대처하기 위해 이러한 규격 요건을 준수하는 것이 필수이나, 기기가 노출될 수 있는 사이버 위협의 범위와 정도를 객관적으로 평가하기 위해 제조사가 사용하는 위험 평가 프로세스를 직접적으로 평가하지는 않는다. 또한 이러한 규격은 위험 평가의 일부로서 식별된 위협에 대응하기 위한 제품 기능의 실질적인 성능을 평가하는 명확하고 객관적인 기준은 제공하지 않는다. 의료 기기의 사이버 보안 관리에 대한 지침이 구상 단계에 있어, 이러한 격차는 FDA 시판 전 사전 허가 대상인 의료 기기를 생산하는 제조사들의 검토 프로세스를 더욱 복잡하게 할 수 있다.
격차 해소
이러한 격차를 해소하기 위해 UL은 네트워크 연결 가능 제품 및 시스템의 사이버 보안 취약점을 평가하기 위한 검증 가능한 기준을 제공하기 위해 평가 개요(Outlines of Investigations)를 개발했다. UL 2900 (Standard for Software Cybersecurity for Network-Connected Devices, 네트워크 연결형 기기의 소프트웨어 사이버보안을 위한 규격)은 다양한 상호 연결 기기에 적용 가능하며, 소프트웨어 취약점과 결점을 해결하고 악용될 수 있는 소지를 최소화하며, 알려진 멀웨어가 생산 라인에 영향을 주지 않도록 하고, 보안 관리의 검토 및 보안 인식과 준비를 강화하도록 지원한다. 의료 기기에 대해 UL 2900은 다음 세 부분으로 구성된다.
사이버 보안에 대한 UL 2900 규격 시리즈는 사이버 위협에 대한 모든 유형의 네트워크 연결 가능 제품과 시스템의 취약점을 평가하기 위한 문서화된 기준을 제공한다. UL 2900 규격 시리즈는 알려진 취약점 및 멀웨어 검사, 정적 코드 분석 등의 테스트를 사용하여 소프트웨어 취약점과 결점을 파악하고, 멀웨어 문제 해결 및 보안 관리 검토, 전반적인 보안 인식 강화에 도움을 준다. 이를 통해 환자와 의료 데이터의 안전 및 보안뿐만 아니라 사이버 공격에 대한 보안을 위한 제조사의 노력을 보여줄 수 있다.
UL 2900 규격 시리즈는 산업 제어 시스템, 자동차 애플리케이션, 건물 자동화 및 스마트 홈 시스템, 네트워크 장비, 가전 제품 등 다양한 연결형 기기와 시스템의 보안 위험을 위한 UL CAP의 핵심 요소이다. UL CAP는 사이버 보안 위험을 최소화하기 위해 제품 단위의 보안부터 시스템 통합까지 총체적인 접근법을 활용한다.
자료 출처 바로가기 : UL White Paper - Cybersecurity of Medical Devices and UL 2900
(영문 다운로드)