코로나19 팬데믹 이후 의료 서비스의 원격 부문을 노린 사이버 공격이 급증했다. 보안 공급업체와 연구자들은 의료 서비스 제공업체를 겨냥한 피싱 공격, 랜섬웨어, 웹 애플리케이션 공격 및 기타 위협이 크게 증가했다고 보고했다.
특히 올해 체인지 헬스케어(Change Healthcare) 침해 사건은 의료 업계 임원에게 큰 경각심을 불러일으키며 헤드라인을 장식했다.
이러한 추세는 의료 보안 조직에 막대한 부담을 안겼다. 사이버 보안 업체 임페르바(Imperva)의 수석 부사장 테리 레이는 “복잡한 보안 위험이 의료 산업을 포위하고 있다”라고 진단했다. “사이버 범죄자들은 환자 데이터와 기업 데이터 등 의료 업계가 접근할 수 있는 민감하고 가치 있는 데이터를 노리고 있다.”
그러나 많은 기업이 리소스가 부족하고, 취약한 시스템과 서드파티 애플리케이션, API에 의존해 서비스를 제공하기 때문에 보안 문제 해결에 어려움을 겪고 있다.
IT 시스템은 임상 진료와 환자 치료를 최적화하기 위해 점점 더 많이 사용되고 있다. 예를 들어 구급차 승무원은 현장에 있는 태블릿 기기를 통해 환자의 상세한 의료 기록을 얻을 수 있으며, 현재 영국에서는 모든 NHS 구급차 서비스에서 이를 현대화 및 표준화하기 위해 국가 동원 앱(NMA)을 도입하고 있다.
심장 부정맥 등의 진단을 돕기 위해 루프 레코더와 같은 이식형 기기도 더 많이 사용되고 있다. 이러한 기기는 웨어러블 기기와 마찬가지로 환자 데이터를 전송해 원격 측정을 지원한다. 중요한 의료 결정은 데이터를 기반으로 이루어지며, IT의 발전으로 인해 환자 데이터의 가용성이 훨씬 더 높아졌다.
의료 분야에서 IoT와 IT의 사용 증가는 임상 효율성과 의사 결정의 확실성 측면에서 긍정적인 효과를 가져왔지만, 이는 위험 평가에 더 많은 주의가 필요하다는 것을 의미한다. 보안 전략 업체 위드시큐어(WithSecure)의 수석 컨설턴트 스튜어트 모건은 환자 데이터를 잠긴 파일 캐비닛에 보관하던 시대는 지났다고 말했다.
모건은 “환자 데이터가 조작되거나 유출될 경우의 영향은 직관적이고 잘 알려져 있지만, 악의적이든 의도하지 않았든 서비스 거부의 위험은 엄청나다”라고 설명했다. 또한 “물론 시스템에는 어느 정도 복원력이 내장되어 있지만 백업 시스템에 의존하는 것은 본질적으로 훨씬 덜 효율적이다. 구급차 승무원이 임상 기록을 검토하지 못하거나 환자가 전자 처방전을 받지 못하고, 집에 있는 임상의가 구급차 출동 시스템에 액세스하지 못하는 상황은 시스템의 기능을 기반으로 만들어진 일반적인 프로세스를 기반으로 하기 때문에 의료 커뮤니티에 큰 실질적인 영향을 미친다”라고 말했다.
임페르바의 레이와 다른 보안 전문가들은 오늘날 의료 기관에 주요 위협이 되는 여러 가지 문제를 파악했다. 그 중 6가지를 소개한다.
1. 증가하는 랜섬웨어 위협
랜섬웨어는 오늘날 의료 분야의 가장 큰 사이버 위협 중 하나로 부상했다. 공격자들은 생명을 구하는 치료를 제공하는 의료 기관이 다른 거의 모든 분야의 피해자보다 더 쉽게 금전을 갈취당할 수 있다는 사실을 발견했다. 또한 많은 의료 기관이 원격 의료 서비스에 대한 수요를 해결하기 위해 출시한 새로운 디지털 애플리케이션과 서비스, 기타 디지털화 노력으로 인해 공격에 더 취약한 것으로 나타났다.
팬데믹 이후 전 세계 의료 부문에 대한 랜섬웨어 공격은 꾸준히 증가했다. 미국 국가정보국장실의 연구에 따르면 2022년부터 2023년까지 의료 랜섬웨어 피해자는 81% 급증했다. 보안 공급업체 소닉월(SonicWall)은 2024년 현재까지 발생한 의료 관련 멀웨어 침해의 91%가 랜섬웨어와 관련이 있다고 발표했다.
의료 서비스 및 병원에 대한 공개적으로 공개된 랜섬웨어 공격의 예는 수없이 많다.
예를 들어, 2021년 5월 아일랜드의 공공 의료 시스템에 대한 랜섬웨어 공격으로 공격자들이 약 2,000개의 환자 대면 시스템을 잠근 후 관리자는 수천 건의 예약과 수술 일정을 취소하거나 변경해야 했다.
2024년 2월에는 체인지 헬스케어가 랜섬웨어 공격을 받아 보험 청구 처리, 처방전 조제, 재정 결제가 중단되어 미국 전역의 많은 병원, 진료소, 약국에 큰 영향을 미쳤다. 2024년 8월, 미국 미시간에 본사를 둔 맥라렌 헬스케어는 12개월 동안 받은 두 차례의 랜섬웨어 공격 중 두 번째 공격을 받았다.
시너지스텍의 CEO 케일럽 발로우는 전자 의료 기록(EHR)과 시스템이 오늘날 의료 분야에서 가장 큰 위험 요소라고 말했다. “과거 공격 사례를 보면 랜섬웨어로 인해 병원이 폐쇄되면 EHR에 대한 액세스가 차단되고 환자가 치료를 위해 다른 곳으로 이동해야 할 수도 있다. 이러한 공격은 당뇨병이나 암과 같은 복잡한 만성 질환을 앓고 있는 환자의 중요한 처방 정보 및 투약에 대한 액세스를 방해한다. 더 심각한 문제는 해커가 한 걸음 더 나아가 의료 기록 데이터를 조작해 환자 치료를 방해할 수 있다는 점이다.”
과거에는 의료 기관이 이러한 위험을 사이버 보험으로 이전했지만, 보험사들이 멀티팩터 인증, 엔드포인트 탐지 및 대응 기술과 같은 특정 제어 기능 없이 랜섬웨어 보호에 가입하는 것을 더 어렵게 만들고 있기 때문에 점점 더 어려워지고 있다는 것이 발로우의 주장이다.
2. 클라우드 취약성 및 잘못된 구성
많은 의료 기관이 광범위한 디지털 혁신 이니셔티브의 일환으로 클라우드 서비스를 채택했으며, 팬데믹과 이에 따른 원격 원격 의료 서비스에 대한 수요 증가로 이러한 움직임이 가속화되었다. 그 결과, 환자 건강 정보(PHI) 및 기타 민감한 데이터가 공급업체 클라우드 환경에서 호스팅되는 경우가 점점 더 많아지고 있다.
이러한 추세로 인해 의료 기관의 공격 표면이 확대되어 PHI, 보험 정보, 기타 민감한 데이터를 탈취하려는 공격에 더 취약해졌다고 인포블록스(Infoblox)의 제품 담당 부사장 앤서니 제임스는 말했다. 또한 의료 기관은 보안 표준과 관행이 서로 다른 여러 클라우드 공급업체와 서비스를 사용하는 경우가 많아 클라우드 환경 전반에 걸쳐 데이터를 보호하기 위한 일관된 정책을 적용하기가 어렵다고 말했다.
인포블록스의 의뢰로 사이버리스크 얼라이언스 비즈니스 인텔리전스가 2021년에 실시한 설문조사에 따르면 의료 IT 전문가 중 53%가 지난 12개월 동안 클라우드 관련 데이터 유출을 경험했다고 답했다. 2021년 3월, 건강 보험 관리 서비스를 제공하는 피크TPA(PeakTPA)는 약 5만 명의 메디케어 및 메디케이드 프로그램 고객이 보유한 PHI가 자사 클라우드 서버 두 대에서 액세스되어 유출되었다고 밝혔다. 2020년에는 환자 관리 소프트웨어 공급업체의 것으로 추정되는 보호되지 않은 클라우드 데이터베이스에서 310만 명 이상의 환자의 민감한 데이터가 노출된 채로 발견되어 주목을 끌었던 또 다른 사례도 있었다.
인포블록스 설문조사에 참여한 피해자의 1/3 이상(34%)이 데이터 유출로 인해 200만 달러 이상의 손해를 입었다고 답했다. 47%는 클라우드에 호스팅된 자산을 표적으로 하는 멀웨어 공격을 경험했다고 답했으며 37%는 클라우드에 저장된 PHI 및 기타 데이터와 관련된 내부자 공격을 경험했다고 답했다.
최근에는 의료 소프트웨어 개발업체인 KMS 헬스케어의 2024년 2월 보고서에 따르면 의료 기업의 61%가 지난 12개월 동안 클라우드 사이버 공격을 경험했으며, 이러한 공격 중 86%가 재정적 손실 또는 상당한 피해를 초래했다고 답했다.
3. 웹 애플리케이션 공격
의료 기관을 표적으로 하는 웹 애플리케이션 공격은 최근 몇 년 동안 급격히 증가했으며, 특히 보안 공급업체 임페르바(Imperva)의 연구원들이 2020년 12월 병원 및 기타 의료 기관을 대상으로 한 웹 애플리케이션 공격이 51% 증가한 것을 관찰한 코로나19 팬데믹 기간부터 급격히 증가하기 시작했다.
그 해 의료 기관은 월 평균 498건의 공격을 경험했으며, 그 중 크로스 사이트 스크립팅 공격이 가장 흔했고 SQL 인젝션, 프로토콜 조작 공격, 원격 코드 실행/원격 파일 인클루전 공격이 그 뒤를 이었습니다.
레이는 “기술적으로 웹 애플리케이션 공격은 리소스가 부족한 의료 기관에서 관리하기가 매우 어려울 수 있다”라고 말했다. 또한 이 문제를 해결하기 위해 의료 기관은 서드파티 애플리케이션과 API 연결에 대한 가시성을 높일 수 있는 제어 기능을 구현해야 한다고 말했다. 그래야만 보안팀이 누가 중요한 데이터에 액세스하려고 하는지, 그리고 해당 활동이 허용되어야 하는지를 파악할 수 있다.
849건의 사고를 분석해 571건의 데이터 유출을 확인한 버라이즌의 연구에 따르면 2021년 의료 분야에서 데이터 유출의 가장 큰 원인은 웹 애플리케이션이었다.
소닉월은 2024년에 의료 기관을 대상으로 한 공격의 약 60%가 마이크로소프트 익스체인지가 표적이 된 것으로 추정하고 있다.
4. 악성 봇 트래픽
웹 사이트에서 데이터를 스크래핑하거나 스팸을 전송하고, 원치 않는 소프트웨어를 다운로드하려는 악성 봇의 트래픽은 의료 기관에 또 다른 주요 과제를 제시한다. 이 문제는 전 세계 정부가 코로나19 백신 등록 및 예약을 지원하기 위해 새로운 웹사이트와 기타 디지털 인프라를 구축하기 시작하면서 특히 심각해졌다. 악의적인 공격자는 급하게 구축되고 대부분 검증되지 않은 이러한 새로운 사이트에 엄청난 양의 악성 봇 트래픽을 쏟아냈다.
임페르바는 팬데믹 첫해에 의료 웹사이트의 악성 봇 트래픽이 372% 증가했다고 밝혔다.
레이는 “트래픽이 증가하면 의료 서비스 업체의 사이트에서 중요한 서비스에 액세스하려는 합법적인 인간 사용자에게 다운타임과 장애를 초래한다”라고 지적했다. “또한 지속적이고 부담스러운 수준의 트래픽 증가로 인한 가동 시간을 유지하려고 노력하면서 조직의 인프라 비용이 증가할 수도 있다.”
보안 공급업체 바라쿠다의 연구에 따르면 2023년 1월부터 2023년 6월까지 악성 봇이 인터넷 트래픽의 30%를 차지했다. 임페르바의 최신 2024년판 악성 봇 보고서에 따르면 악성 봇이 인터넷 트래픽의 거의 3분의 1(32%)을 차지할 것으로 추정된다.
임페르바는 의료 부문에서 악성 봇 트래픽이 증가했으며, 웹사이트 트래픽의 33.4%가 악성 봇에서 비롯된 것으로 전년의 31.7%에 비해 증가했다고 보고했다.
악성 봇은 환자 계정에 대한 크리덴셜 스터핑 공격, 민감한 의료 정보 스크래핑 등을 통해 의료 데이터 유출로 이어질 수 있다.
임페르바는 사이버 범죄자들이 환자 기록, 병력, 보험 정보 등 기밀 의료 정보를 노리는 이유가 이렇게 훔친 데이터를 다크웹에서 판매해 수익을 올리거나 사기 행위에 사용할 수 있기 때문이라고 경고했다.
5. 피싱 규모 증가
피싱 공격은 거의 모든 분야에서 그렇듯이 의료 업계에도 큰 위협이 되고 있다. 이번에도 팬데믹은 의료 기관에 대한 피싱 공격이 증가하는 독특한 배경을 제공했다. 팔로알토 네트워크의 유닛42(Unit42) 팀 연구원이 최근 실시한 분석에 따르면 2020년 12월부터 2021년 2월까지 약국 및 병원과 관련이 있거나 이를 표적으로 삼는 피싱 공격이 189% 증가한 것으로 나타났다. 백신 관련 피싱 공격은 같은 기간 동안 530% 급증했다.
공급업체에 따르면 팬데믹 초기에는 검사 및 개인 보호 장비(PPE)와 관련된 피싱 미끼가 많았다. 그 후 경기 부양책과 정부 구호 프로그램, 그리고 백신 출시로 전환되었다.
당시 의료 정보 및 관리 시스템 협회(HIMSS)가 의료 사이버보안 전문가 168명을 대상으로 실시한 설문조사에 따르면 대부분의 보안 사고에서 피싱이 전형적인 초기 침해 지점인 것으로 나타났다.
HIMSS는 보고서에서 “피싱 공격은 응답자들이 보고한 주요 보안 사고의 가장 큰 유형”이라고 언급했다. 피싱은 의료 기관에서 중대한 보안 사고를 일으킨 가장 큰 위협 유형이었다.
미국 보건복지부(HHS)가 집계한 통계에 따르면 2009년 10월부터 2021년 말까지 보고된 4,419건의 PHI 침해 사고 중 18%가 피싱 공격 또는 이메일 계정 해킹과 관련이 있었다.
피싱은 의료 기관인 앤섬(Anthem)과 매글런 헬스(Magellan Health) 등을 대상으로 한 유명 공격의 초기 벡터였다.
영국 의학 저널인 BMJ의 연구에 따르면 한 달 동안 병원 직원에게 전송된 이메일 중 약 3%가 위협으로 의심되는 내용이었다.
BMJ는 많은 직원이 피싱을 인지하고 적절하게 대응하는 것으로 보이지만, 특히 소셜 미디어를 통해 공격자에게 악용될 수 있는 정보가 유출될 위험에 대한 지속적인 교육이 필요하다고 조언했다.
6. 스마트 기기
웨어러블 및 이식형 스마트 의료 기기는 사이버보안 위험이 입증된 기술이다. 확실히 더 나은 분석을 제공해 의학적 상태 진단을 돕고 독립적인 생활을 지원하지만, 보안 취약점으로 인해 공격 가능성에 노출된 사용자가 많다.
2011년 바나비 잭이 인슐린 펌프를 해킹한 사건이 대표적인 사례다. 블루투스를 통한 이 공격의 최대 도달 범위는 약 300미터였다.
이후 펜 테스트 파트너스의 보안 연구원이 공개 인터넷에서 ‘폐쇄 루프’ 인슐린 임상시험 데이터를 발견했다.
펜 테스트 파트너스의 매니징 디렉터인 켄 먼로는 CSO에 “한 사례에서는 몸에 착용하는 연속 혈당 모니터에서 측정한 수치를 수정해 임상시험에 참여한 약 3,000명의 사용자에게 치명적인 용량의 인슐린을 자동으로 원격 투여할 수 있었다”라고 말했다. “다행히도 관련 공급업체가 보고에 매우 신속하게 대응해 당일에 시스템을 보호했다.”
펜 테스트 파트너스가 보안 문제를 발견한 다른 커넥티드 의료 기기에는 두개골 자극기, 투약 펌프, 의료용 로봇 등이 있다. 다행히도 스마트 기기의 위협을 인식하고 규제 당국이 조치를 취하기 시작했다.
예를 들어, 미국 식품의약국(FDA)은 작년에 커넥티드 의료 기기의 사이버 보안을 강화하기 위해 FD&C 524b를 도입했다.
Read More from This Article: 의료 보안의 새로운 취약점··· 스마트 기기와 랜섬웨어 증가
Source: News