영세 의료기관 보안 강화를 위한 4가지 팁

건국대 SW보안연구소 양성욱 연구원 발표

컴퓨팅입력 :2018/07/09 11:35    수정: 2018/07/09 12:54

"국내 1·2차 의료기관이 고가의 보안솔루션을 도입하는 건 현실적으로 어렵다. 알려지지 않은(unknown) 악성코드를 막기 힘든 이유다. 하지만 손 놓고 당할 게 아니라 그런 솔루션 없이도 위협을 줄일 방법을 생각해 봐야 한다."

국내 영세 의료기관의 사이버보안 사각지대를 줄이려면 백신에만 의존하고 있는 현재 상황을 개선해야 한다는 진단이 나왔다. 건국대 소프트웨어(SW) 보안 연구소 양성욱 연구원이 지난주 열린 스마트의료 정보보호 컨퍼런스에서 진행한 강연 내용 일부다.

스마트의료보안포럼 양성욱 수석이 7월 4일 스마트의료정보보호컨퍼런스에서 악성코드공격에 취약한 국내 영세의료기관 보안환경 문제점과 대응방안을 짚었다. [사진=Pixabay]

양 연구원은 지난 4일 서울 강남파이낸스빌딩에서 진행된 컨퍼런스에 주최측인 스마트의료보안포럼 수석 자격으로 참석해 '의료기관 랜섬웨어·악성코드 대응방안'을 주제로 한 강연을 진행했다. 강연을 통해 국내 군소 의료기관의 정보보호 현황 문제점을 짚고 개선안을 내놨다.

양 연구원은 먼저 국내 의료기관 정보보호 실태의 문제로 "개인정보보호, 정보유출방지에만 치중하고 있다"는 점을 들었다. 의료기관들이 안에서 밖으로 나가는 정보에는 주의를 기울이고 있는 반면, 외부에서 안으로 침입하는 악성코드나 해킹에는 대비가 부족하다는 얘기였다.

스마트의료보안포럼(의장 한근희, 건국대교수) 양성욱 수석(사진 맨 오른쪽 위)이 스마트의료 정보보호 컨퍼런스에서 의료기관 랜섬웨어·악성코드 대응방안을 발표 중이다. [사진=스마트의료보안포럼]

그는 "의료기기나 업무시스템에 구버전 윈도CE(임베디드 기기용 윈도 에디션의 일종)나 리눅스같은 과거 운영체제(OS)를 사용하는데 최근 패치를 적용하지 않아 새로운 악성코드 공격에 무방비 상태"라며 "어디가 어떻게 취약한지같은 정보보호 현황 파악도 미흡하다"고 말했다.

이어 "정보보호 예산을 과거 쓴만큼만 써야 한다는 풍토가 있고, 보안 수준을 강화하는 목적의 투자는 부족하다"며 "의사결정권자의 정보보호 의식이 부족하고, 보안사고 발생시 빨리 신고하고 공개적으로 조치를 해야하는데 그러지 않는 경우가 대부분"이라고 덧붙였다.

양성욱 수석의 스마트의료 정보보호 컨퍼런스 발표자료 일부.

그의 원론적 조언은 이렇게 요약된다. 최신 OS를 써라. 우수한 엔드포인트 보안솔루션을 써라. 자체 메일서버엔 안티스팸 솔루션을 써라. 방화벽과 침입탐지시스템(IPS), 샌드박스와 딥러닝 기술을 활용한 차세대IPS와 지능형지속위혐(APT) 대응솔루션도 써라.

그는 모든 의료기관이 고가 솔루션을 쓸 수는 없고, 쓰더라도 100% 차단을 보장하는 건 아니라는 점도 덧붙였다. 하지만 "해커도 직접 보안솔루션을 사서 그걸 우회할 방법을 알아내는 등 얻을 게 많다고 기대할 때 '투자'를 한다"며, 보안에도 투자가 필요하다는 점을 강조했다.

■ 의료기기와 업무용 PC 망분리

영세 의료기관의 낙후된 소프트웨어(SW) 및 부족한 보안 예산과 의사결정권자의 정보보호의식 등은 당장 해결될 수 없는 문제다. 하지만 악성코드나 해킹 공격이 이런 사정을 봐 가면서 발생하진 않는다. 일단 최소한의 보안 수준을 끌어올릴 수 있는 수단이 필요하다.

양 연구원은 "대다수 1차, 2차 의료기관은 V3 안티바이러스 프로그램 하나만 가지고 악성코드와 랜섬웨어를 막고 있는데, 백신은 이미 알려진 악성코드만 차단할 수 있다"며 "이런 곳은 최신 취약점을 겨냥해 이뤄지는 해킹이나 침입 시도에 무방비 상태"라고 지적했다.

이어 "3차 의료기관은 상용 안티바이러스 외에 안티스팸, IPS, 방화벽 등 여러 보안솔루션을 구축하고 망분리 환경을 구성해 악성코드를 막는다"며 "1차, 2차 의료기관은 고가 솔루션 도입이 어렵지만, (위협을 낮출) 한 방법으로 감염경로 차단을 해볼 수 있다"고 말했다.

양 연구원의 감염경로 차단 시나리오는 인터넷을 주된 악성코드 유입경로로 전제한다. 그리고 감염경로 차단 대상을 낡은 임베디드OS 기반으로 구동되는 의료기기와 V3 안티바이러스 프로그램 하나에 의존하고 있는 병원 업무용 PC, 2가지로 구분하고 있다.

양성욱 수석의 스마트의료 정보보호 컨퍼런스 발표자료 일부.

양 연구원은 "진료용, 업무용 컴퓨터에 뭘 적용할지 파악해야 하고, 보안솔루션 설치가 불가능한 의료기기는 되도록 물리적 망분리 구성을 하거나, 그게 어렵다면 의료기기의 네트워크 환경설정에 게이트웨이를 없애고 논리적 망분리 구성을 적용해야 한다"고 말했다.

그는 "우선 의료기기로부터 네트워크를 완전히 물리적으로 분리하라"며 "소규모 1차 의료기기는 물리적으로 망분리를 하지 못한 채 인터넷을 연결해 쓰는 곳이 많은데, 물리적으로 분리할 수 없을 경우 논리적인 네트워크 구성을 망분리한 것처럼 구성하라"고 말했다.

■ 윈도10 랜섬웨어·악성코드 차단기능 활용

또 의료기기가 아닌 일반 데스크톱 OS로 구동되는 업무용 PC를 보호하려면 오라클 버추얼박스나 VM웨어 워크스테이션같은 데스크톱가상화SW를 사용할 것, 혹은 윈도10 도입 환경일 경우 자체 보안 툴을 최대한 활용해 악성코드 감염 피해를 예방할 것을 권고했다.

양 연구원은 "데스크톱가상화SW 사용시 호스트OS쪽은 인터넷을 끊고 게스트OS(가상머신)로만 웹서핑과 이메일확인을 하라"며 "이렇게 하면 악성코드에 감염됐을 때 가상머신 스냅샷 복구 기능을 통해 이전 상태로 되돌릴 수 있다"고 강조했다.

윈도10은 '윈도디펜더'라는 보안툴을 갖추고 있다. 기본 기능은 실시간 악성코드 탐지로 일반 백신 프로그램과 같다. 부가기능으로 랜섬웨어 피해방지 동작을 지원한다. 이는 사용자가 지정한 보호폴더의 파일을 랜섬웨어에 감염당했어도 암호화되지 않게 보호해 주는 동작이다.

윈도디펜더는 보안센터 기능으로 악성코드의 보안취약점 악용 시도를 탐지하는 동작(exploit detection)도 수행한다. 또 윈도10은 웹서핑간 악성코드 차단으로 감염 위험을 낮춰 주는 내장 브라우저 MS엣지(Edge)를 제공한다. 모두 활용하라는 게 양 연구원의 권고사항이다.

양성욱 수석의 스마트의료 정보보호 컨퍼런스 발표자료 일부.

양 연구원은 자신이 권고한대로 구성된 PC로 랜섬웨어가 감염됐을 때의 복구 방법, 랜섬웨어 감염을 차단하는 방법을 시연했다. VM웨어 워크스테이션에 게스트OS로 윈도10을 설치한 가상데스크톱을 띄우고 '케르베르' 랜섬웨어로 인한 피해를 예방할 수 있음을 보였다.

관련기사

그는 "윈도10 익스플로잇 디텍션 정책을 만들어 배포하면 익스플로잇 자체는 시작되지만 그 명령에 따라 악성코드 다운로드로 이어지는 행위를 차단할 수 있다"며 "큰 비용을 들여 솔루션을 도입하기 어려운 소규모 의료기관은 이런 방식으로 정보보호를 할 수 있다"고 말했다.

다만 논리적 망분리, 윈도10과 데스크톱가상화SW 적용을 통한 보안강화는 만능이 아니라는 설명도 이어졌다. 그는 "악성코드는 절대 안 걸릴 수 없고 랜섬웨어 감염 사고는 무조건 발생한다고 보고, 걸렸을 때 처리할 내부 절차를 수립해 둬야 한다"고 언급했다.