Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 定期刊行物
  • 単行本書籍
  • 技術報告書/白書
  • 関連サイト
  • コミュニティ
  • センター紹介
    •

    일본산업뉴스요약

    사이버 보안 위험성 증가 -- 의료의 IT∙네트워크화 필수적
    • Category사물인터넷/ ICT/ 제조·4.0
    • 기사일자 2019.5.1
    • 신문사 일간공업신문
    • 게재면 12면
    • Writerhjtic
    • Date2019-05-09 22:07:49
    • Pageview380

    사이버 보안 위험성 증가
    의료의 IT∙네트워크화 필수적

    의료의 IT화∙네트워크화로 인해 사이버 보안 상의 위협이 증대하고 있다. 전자 진료 카드 및 의료용 영상 관리 시스템(PACS) 등 IT 시스템으로 진화해 미래의 보급이 전망되는 전자 진료 카드의 클라우드 연계 및 원격지 진료의 진화는 네트워크의 구축 없이는 실현할 수 없다. 하지만 반면에 정모 유출 및 부정 액세스, 해킹 등의 리스크도 커진다. 의료업계가 직면하는 과제로 새로운 안전한 시스템을 구축할 필요가 있다.

    -- 과실 방지 지원 --
    “의료의 IT화∙네트워크화는 역행할 수 없는 흐름이지만 거기에는 보안이 필요하다.” 보안 서비스를 제공하는 디지서트 재팬의 하야시(林) 매니저는 이렇게 말한다. 의료 종사자의 업무를 효율화하는데 있어서 IT화와 네트워크화는 필수적이다. 고령화로 환자 수는 증가할 전망으로 의료 인재의 확보가 요구되어 의료 과실을 방지하는 서포트 역할로 기대된다.

    예를 들어 페이스메이커 및 약물 주입 펌프 등은 컴퓨터가 내장되어 네트워크화 됨으로써 정상적으로 작동하게 되어있다. 원격에서 환자의 상태를 확인해 의료 종사자의 업무 부하를 경감시켜 많은 환자에 대응할 수 있다. 하지만 컴퓨터가 내장됨으로써 해킹의 리스크가 발생해 화이트 해커의 해킹이 시연되고 있다.

    구체적으로는 호주 멜버른에서 화이트 해커로 유명한 버너비 잭은 공격자가 특정 이식형 제세동기(ICD)에 대해 전기 충격을 작동할 수 있다는 것을 보여주었다. 인슐린 펌프에서도 컴퓨터 보안 연구자가 자신이 이용하는 기기의 해킹에 성공했다. 이로 인해 기기 내의 제어 소프트웨어 및 애플리케이션, 의료 데이터 등이 조작되어 의도대로 작동하지 않게 되어버린 것이다.

    -- 전자 증명서 --
    이러한 IoT기기의 취약성을 노린 부정 액세스를 방지하기 위한 ID와 패스워드에 의존하는 것이 아닌 “전자 증명서의 이용이 유효”하다고 하야시 매니저는 강조한다. 디지서트 재팬은 타인으로 위장해 사용하는 것이 불가능하도록 통신을 암호화하는 전자 증명서라 불리는 전자 파일을 만들어 의료 종사자에게 제공한다.

    예를 들어 미국 애플 제품의 태블릿PC ‘iPad’에서 로그인 하여 의료기기를 통한 서비스를 이용하려는 사람이 진짜 의료 종사자인 지를 증명하는 부분이 없다. 그것을 보증하기 위해 병원의 담당자에게 병원 내의 사람들이 증명서를 발급받도록 인프라를 설치해 증명서를 배포한다. iPad에 증명서를 설치함으로써 그 의료기기는 병원 내 시스템에 접속할 수 있어 의로 데이터를 열람하거나 조작할 수 있다. 전자 증명서의 베이스 기술이 PKI(공개키 기반구조)로 “인터넷의 보안 기술로 활용되어 온 PKI를 IoT 기기, 의료기기에 응용해나간다.”(하야시 매니저)

    하지만 “의료기관의 사이버 보안에 대한 의식은 아직 낮은 것 같다.” 제3자 인증기관인 TUV 라인란드 재팬 제품부 의료기기과의 오시다(鴛田)는 말한다. 그 이유로 의료기관에서 큰 사고가 나지 않아 위기감이 적으며 보험 적용 문제도 있다고 보고 있다. 그런 의미에서도 보험 적용이 추진되면 의료기관의 보안 투자도 활발해질 수 있다. 한편 일부 선진적인 대규모 병원에서는 기기의 조달에 있어서 기능 및 보증기간 등에 더해 보안 대책을 구입 요건에 넣고 있다. 이 때문에 제품의 기능 및 가격에서 조건을 만족시켜도 보안 측면에서 만족시키지 못해 구입을 미루는 경우가 나오기 시작하고 있다고 한다.

    -- 보안 사고와 취약성의 보고 사례 --
    ▶태아 모니터 장치 감염

    미국 보스턴의 메디컬 센터에서 고위험 임신의 여성용 태아 모니터 장치가 멀웨어에 감염되어 장치의 반응이 느려졌다고 보고되고 있다.
    ▶의료기기 바이러스 감염
    가루이자와대학 소속병원에서 각 부문에서 개별적으로 도입한 시스템에서 타 부문의 기기에 바이러스 감염이 확산되어 진료업무에 영향이 발생. USB 메모리 경유로 침임했다.
    ▶인슐린 펌프 해킹
    2011년에 한 컴퓨터 보안 연구자가 발표했다. 당뇨병 환자의 인슐린 펌프에 무선 기능의 취약성을 이용해 침입, “치명적인 타격을 줄 수 있다.”고 발표했다.
    ▶페이스메이커 해킹
    2012년에 한 화이트 해커가 페이스메이커 해킹에 대해 발표하고 데모 영상을 보여주었다.
    ▶FDA 보고에서 언급
    2013년 6월 13일 FDA 보고에서 언급되었다. 네트워크 접속형 의료기기에 멀웨어가 감염된 사례 및 환자의 정보 모니터 시스템, 임플란트 기기에 무선 접속을 실행하는 모바일 기기를 표적으로 한 멀웨어가 언급되고 있다.
    ▶의료기기의 하드코드 된 패스워드
    40개의 벤더사, 300개의 의료기기에 관한 하드코드 된 패스워드에 대해 2013년에 미국의 ICS-CERT로부터 보고가 나왔다. 수술용 기기 및 마취기, 인공호흡기, 약물주입 펌프 등이 원거리에서 조작이 가능하다고 하고 있다.

    -- 끝 --

    List