차세대 IT 기술 발전과 함께, 의료 서비스의 질과 접근성도 빠르게 향상되고 있다. 그 중심에는 환자, 의료 서비스 제공 업체, 보험사 등 다양한 경로에서 수집된 개인의 의료 정보를 통합적으로 분석하는 의료사물인터넷(Internet of Medical Things, IoMT) 기술이 있다. 디지털화된 의료 정보를 모아 환자의 건강 상태를 종합적으로 모니터링 함으로써, 치료를 넘어 질병 예측에 중점을 둔 진단을 내리고 개인에 최적화된 치료를 제공할 수 있다.

이찬호 이글루시큐리티 보안분석팀 사원
이찬호 이글루시큐리티 보안분석팀 사원

 

하지만 한편에서는 의료사물인터넷 기술 확산에 발맞춰, 이를 겨냥한 사이버 공격이 증가할 가능성도 높아지고 있다. 사이버 공격자들은 의료 기기나 시스템 등에 있는 보안 취약점을 뚫고 들어가 개인의 의료 정보를 탈취하는 것은 물론 데이터를 위·변조하거나 기기를 임의로 조작하는 방식으로 환자의 생명을 위협할 수 있다. 악용될 시 그 위험성이 더 높은 만큼, 의료 정보는 일반적인 개인 정보에 비해 더 비싼 가격으로 사이버 암시장에서 팔리고 있는 것으로 나타났다.

주요 의료기기 해킹 사례
주요 의료기기 해킹 사례

많은 의료 서비스 제공 업체들은 이러한 위험성을 인지하면서도 공격에 맞설 수 있는 방어 체계를 구축하는 데는 난색을 표하고 있다. 먼저, 의료 기기에 대한 FDA 승인을 받는 데 통상 5-6년의 시간이 소요되는 만큼, 상당수 의료기기에는 보안 업데이트가 종료된 운영체제가 적용되어 있다. 상대적으로 최신의 운영체제를 사용하고 있는 경우에도, 응급 환자 발생 대응 및 서비스 연속성 유지를 위해 알려진 취약점에 대한 보안 업데이트를 적시에 진행하기 어려운 것이 사실이다. 

하지만, 이러한 어려움에도 불구하고 의료사물인터넷을 노린 사이버 공격에 대한 방어 체계는 반드시 마련되어야 한다. 사이버 공격이 성공할 시에는 금전적 피해를 넘어 사람의 생명을 앗아가는 심각한 사고로 확대될 수 있기 때문이다. 이에 상당수 정부 기관과 보안 기업들은 의료사물인터넷 관련 기업과 의료 기관들이 우선적으로 준수해야 할 보안 가이드라인을 제시하며, 의료사물인터넷의 보안성을 강화할 것을 강조하고 있다.

한국인터넷진흥원 역시 ‘스마트 의료기기 가이드’를 통해 보안 요구 사항을 명시하고 있다. 먼저, 사이버 공격자의 침투 시도에 맞서 의료 정보망과 업무망을 분리하여 관리할 것을 권고하고 있다. 또한, 공격자가 침투에 성공한 경우에도 의료 정보를 쉽게 열람하거나 거래하지 못하도록, 수집되는 데이터를 암호화하여 보관할 것을 강조하고 있다. 더불어, 의료사물인터넷 장치 취약점에 대한 즉각적인 조치를 취할 수 있도록, 제조업체와의 긴밀한 협력도 뒷받침되어야 한다고 설명하고 있다.

스마트 의료기기 보안 요구사항/출처: 한국인터넷진흥원 ‘스마트 의료기기 보안 가이드’
스마트 의료기기 보안 요구사항/출처: 한국인터넷진흥원 ‘스마트 의료기기 보안 가이드’

의료사물인터넷을 노린 보안 우려를 해소하기 위해서는 법, 제도, 기술적인 면에서 선결되어야 할 과제들이 남아 있다. 먼저, 각기 다른 통신 프로토콜을 사용하는 의료사물인터넷 장치, 기기들을 지속적으로 모니터링하여 비정상적인 트래픽을 파악할 수 있는 통합적인 보안 체계 마련이 요구된다. 더불어, 허가받은 사용자만이 검증된 기기를 활용해 적합한 경로로 의료 정보에 접근할 수 있도록, 사용자 신원 확인 및 인증 절차를 강화하고, 지속적으로 보안 취약점을 모니터링해야 한다.

또한 의료사물인터넷 관련 기업·기관들이 보다 적극적으로 보안 요구 사항을 준수할 수 있도록, 제도적인 정비가 이뤄질 필요가 있다. 현재 배포되는 가이드라인은 의료사물인터넷 시스템의 보안성을 높일 수 있는 유용한 내용을 담고 있으나, 관련 기업·기관들이 반드시 따라야 하는 법적 효력을 가진 것은 아니다. 의료 소프트웨어를 노린 보안 위협 및 취약점을 반드시 관리하도록 강제한 미국 등과 같이 의료사물인터넷에 대한 규제 및 감독을 강화해야 한다고 생각한다. 

지금까지 의료사물인터넷 서비스의 혜택을 안전하게 누리기 위한 과제들에 대해 알아보았다. 의료사물인터넷 기술에 기반한 의료 서비스는 환자를 중심에 둔 예측 기반의 선제적인 진료를 제공할 수 있는 큰 장점이 있지만, 보안 기술 및 제도 측면에서 강화되어야 할 요소가 많은 것이 사실이다. 의료 정보를 노리는 사이버 공격자들에게 유연히 맞설 수 있는 보안 체계를 구축함으로써, 보다 안전하게 스마트 의료 서비스를 이용할 수 있길 바란다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사