백신도 못 까는 의료기기…보안성 강화 시급

OS버전, 상당수 업데이트 지원 끊긴 윈도7 이하

과학입력 :2018/05/04 16:32

우리 생명과 건강을 지켜주는 의료기기가 해킹 위험에 노출돼 있으며 마땅한 해결책도 없다면 어떨까. 국내 의료기기들은 대부분 수입산이며 10년 이상 노후돼 최신 보안 업그레이드나 백신 설치 같은 대응도 어렵다는 지적이 나왔다.

국내는 물론 미국, 유럽 등 선진국도 의료기기 보안 문제를 심각하다고 보고 최근 몇 년 전부터 의료기기 제조사와 의료기관이 지켜야할 가이드라인을 마련했지만 앞서 생산·판매된 의료기기는 여전히 사이버공격 사각지대에 놓여있다.

인터넷과 연결되는 의료기기, 헬스케어 목적으로 사람들의 다양한 건강 정보를 수집하는 웨어러블 기기는 꾸준히 늘어나고 있다. 의료업계와 보안솔루션 업계, 정부가 함께 현실적인 의료기기 보안 솔루션을 시급히 찾아야 한다는 목소리가 나오는 배경이다.

김기태 건국대학교병원 의공학팀장이 3일 서울시 서초구 소재 L타워에서 열린 ‘테크&퓨쳐 인사이트 콘서트’에서 국내 의료기기 보안 실태에 대해 발표하고 있다.(사진=지디넷코리아)

3일 정보통신기술진흥센터(IITP) 주관으로 서울시 서초구 소재 L타워에서 열린 '테크&퓨쳐 인사이트 콘서트'에선 국내 의료기기 보안 실태가 쟁점으로 다뤄졌다.

'의료기기 보안위협으로부터 안전한가' 주제 발표를 맡은 김기태 건국대학교병원 의공학팀장은 국내 의료업계가 의료기기 보안 문제의 심각성을 알게 된 계기로 2017년 5월 12일 전 세계를 휩쓴 랜섬웨어 '워너크라이'를 꼽았다.

랜섬웨어는 컴퓨터 시스템을 잠그거나 데이터를 암호화해 사용할 수 없게 하고 금전을 요구하는 악성 프로그램이다. 워너크라이는 네트워크 연결만으로 컴퓨터를 감염시켜 순식간에 150여국 개인과 기관 컴퓨터 20여만대로 퍼졌다.

국내서도 10여곳이 피해 받았으며 당시 한국인터넷진흥원은 국내 피해 확산 차단을 위해 대국민 행동요령을 권고하기도 했다. 건국대학교병원을 포함한 의료업계는 권고에 따라 의료기기 운영체제(OS)와 보안 수준을 업그레이드하려고 했지만 곧 벽에 부딪쳤다.

김 팀장은 "국내 의료기관에서 쓰는 의료기기 90% 이상이 외산이며 10년 이상됐다"며 "네트워크에 연결된 의료기기 OS는 50% 이상이 업데이트 지원이 끊긴 윈도 엑스피(Windows XP) 이하 버전을 쓰고 있다. OS를 윈도7으로 업데이트하거나 백신을 설치하면 의료기기가 돌아가지 않거나 오작동했다"고 설명했다.

국내 의료기기 중 국산은 체중계나 인바디로 불리는 체성분 분석기 등 단순한 의료기기가 대다수다. 환자 생명과 건강에 직접 영향을 끼치는 고가의 정밀 의료기기는 해외 제품이라 국내 의료진이 신속하게 보안 안정성을 확보하기 어렵다는 지적이다.

김 팀장은 “컴퓨터 단층촬영(CT)나 자기공명영상법(MRI) 기기는 1대가 30억원 이상이다. 대학병원에서 쓰는 중요 기기는 1천억원대에 달한다. 일상에서 쓰는 컴퓨터는 5~6년마다 바꿀 수 있어도 의료기기는 비싼 가격 때문에 십 년 이상 쓸 수밖에 없다”고 말했다.

의료기관에 두고 쓰는 대형 의료기기가 아닌 환자 몸에 부착하거나 삽입하는 작은 의료기기의 보안 문제도 심각한 수준으로 드러났다. 네트워크로 연결돼 제어되는 인슐린 펌프나 인공 심박동기, 약물 주입기 등이 해킹으로 오작동했을 때 환자는 최악의 경우 목숨을 잃을 수 있다는 지적이다.

김 팀장은 “존슨앤존슨은 2016년 환자 몸에 삽입해 원격으로 인슐린 주입량을 제어하는 원터치 핑 시스템이 해킹 공격을 받을 수 있다고 밝혔고 미국 식품의약국(FDA)도 지난해 세인트주드메니컬의 심장박동기를 해커들이 원격 조작할 수 있다고 경고했다”고 우려했다. 이어 “FDA는 2015년 사이버 보안 위험 때문에 호스피라의 심박 약물주입펌프 사용을 중지하고 다른 장치로 교체하도록 권고 했다”고 덧붙였다.

■ 미국·유럽·일본도 대응책 고민...뚜렷한 대책 없어

의료기기의 보안 취약성은 국내를 넘어 미국, 유럽, 일본 등에서도 가이드라인을 만들며 고민하고 있다. 그러나 가이드라인이 나오기 전 판매돼 사용 중인 의료기기에 대한 마땅한 해결책은 없다는 것이 현실이다. 국내서도 지난해 처음으로 가이드라인이 나왔지만 강제성이 없다는 한계까지 있다.

FDA는 2013년 6월 의료기기 보안 가이드라인 초안을 발표했으며 같은해 7월 사이버보안 지침, 2016년 12월엔 의료기기 시판 후 관리를 위한 보안 가이드라인을 내놨다. 유럽에선 유럽공중보건연합(EPHA)와 유럽사이버전문기구(ENISA)가 2016년 11월 의료보안 정책 수립 및 의료보안을 위한 스마트병원 가이드를 발표했다.

일본은 경제산업성(IPA)이 2014년 11월 의료기기 제조업체 의료정보보호 공개서 가이드를, 보건의료정보시스템협회(JAHIS)는 2016년 6월 원격의료서비스 보안가이드라인을 발표했다. 국내에선 지난해 11월 식품의약품안전평가원이 의료기기 사이버 보안 허가·심사 가이드라인을 마련했다.

김 팀장은 "각국 여러 단체들이 활발히 연구하고 있으며 FDA가 가장 빠르게 대응하고 있지만 여전히 미진하다. 예전부터 사용 중인 기기에 대한 방안은 없다"며 "우리나라 가이드라인도 기존 제품에 대한 방안이 없는데다 권고 사항이라 제조사들이 지키지 않아도 된다. 외산 기기에 대한 문제도 남았다"고 설명했다.

■ 인터넷 연결 의료·웨어러블 기기 늘어나

상황은 이렇지만 국내 의료업계가 손을 놓고 있는 것은 아니다. 보안 측면에서 안전하도록 의료기관 내부와 외부 네트워크를 분리하고 인터넷 외부공격에 대한 내부망 보호 대응 방침 등도 자체 마련했다. 보안 솔루션 업체들도 종종 만나 효과적인 보안 솔루션 논의도 진행한 바 있다.

그러나 인터넷과 연결되는 의료기기와 각종 개인 건강 정보를 수집하는 헬스케어 웨어러블 기기가 갈수록 늘어나고 사이버 공격도 점차 지능화되면서 확실한 보안 대책이 절실하다는 게 업계의 중론이다.

관련기사

김 팀장은 "건국대학교병원에만 전수조사해보니 3~4천대 의료기기가 있었다. 더 큰 병원은 1만대 이상이다. 이중 보통 10% 정도가 인터넷과 연결돼 있는데 요즘 나오는 의료기기는 모두 인터넷과 연결될 수 있는 기기"라며 "앞으로 의료기기 중 60%~70% 이상이 인터넷과 연결돼있을 것"이라고 설명했다.

이어 "안랩 등 국내 주요 보안업체들과 만나 의료기기 보안 솔루션에 이야기했지만 현재로선 명확한 답이 없다"며 "앞으로 더 좋은, 안전한 솔루션이 나올 수 있는지 계속 관심을 가지고 해킹을 방어할 수 있도록 노력해야 한다"고 말했다.