의료 부문에서 사용하는 의료 인프라는 의료정보시스템(HIS, EHR, EMR 등)과 디지털화된 의료 기록부터 진단·진찰·치료·수술 등에 사용하는 의료기기에 이르기까지 폭넓은 사이버 공격 표면을 가지고 있다. 더욱이 최근의 코로나 사태로 재택근무와 원격치료가 늘어남에 따라 의료 부문은 해킹 공격자에게 매력적인 공격대상이 되었고 의료 네트워크와 시스템, 기기 등은 언제든지 공격받을 수 있는 상황이다.

사물인터넷기술을 활용한 각종 IoT 기기를 활용하여 민감한 신체건강정보를 포함한 개인건강정보가 집적되어 유통되는 네트워크 기반의 의료기기(IoMD, Internet of Medical Device)의 사용이 폭발적으로 증가하고 있다.

특히, 디지털 치료제와 같이 의료 기기로서의 소프트웨어는 IMDRF(International Medical Device Regulators Forum) SaMD WG(Software as a Medical Device Working Group)에서 2013년에 정의한 것으로 하드웨어 의료 기기의 일부가 아니어도 하나 이상의 의료 목적으로 사용되는 소프트웨어를 가리킨다. SiMD(Software in a Medical Device)는 하드웨어와 소프트웨어 구성요소가 모두 있는 것을 말한다.

의료정보시스템과 달리 의료기기(IoMD)는 규모와 종류, 입출력 데이터, 기술적 난이도 등에서 영역이 매우 다양하고, 인체에 위해를 가하거나 민감한 정보와 밀접하게 연관되어 있으면서도 의료인과 일반인(환자, 간병인, 방문객, 기타 병원종사자 등)이 공유하는 경우가 많다.

환자나 의료진이 사용하는 의료 기기는 보통 며칠, 몇주 혹은 몇달 동안 장기간 사용하는 경우가 많으며, 병원 입원 병동, 중환자실 등에서 24시간 365일 중단없이 사용해야 하는 의료기기가 매우 많다.

2022년 3월 3일 Palo Alto Networks사가 발표한 보고서에 따르면 의료기관에서 사용하는 200,000개 이상의 약물주입 펌프에 대한 크라우드 소싱 데이터를 분석한 결과, 75%의 제품이 보안에 취약한 것으로 나타났다고 한다.

의료기관에서 사용하는 의료기기의 38%가 약물주입 펌프로 약 73% 약물주입 펌프가 사이버 위협·공격에 노출되어 환자 안전을 위태롭게 할 수 있는 취약점을 적어도 하나씩 보유하고 있다고 한다.

이는 40여 개의 알려진 사이버 보안 취약점 중 하나 이상에 노출되거나 IoT 장치에 대해 알려진 70여 개의 다른 보안 약점 중 하나 이상을 가지고 있다는 것을 의미한다.

2019년 미국 FDA는 메드트로닉사의 인슐린 펌프가 잠재적 사이버 보안 위험이 있음을 경고하고 긴급하게 리콜 조치를 취한 적이 있다. 당시 FDA는 "리콜 대상이 된 인슐린 펌프에서 환자, 간병인 또는 의료진이 아닌 다른 사람이 미니메드 인슐린 펌프에 무선 WiFi로 연결해 펌프 설정을 변경하는 등 보안 위험이 있었다"고 했다.

실상 정맥주입펌프, 인슐린 펌프와 관련한 사이버 보안 취약점은 오래전부터 지속적으로 제기되어 왔다.

2020년에는 Baxter사의 투석 전달 시스템 및 약물주입 펌프 4개 제품에 대해 '민감한 데이터 전송 중 암호화를 지원하지 않는다는 점'에 사이버 취약점을 언급하는 통지를 발표하기도 했다.

의료기기 보안업체 Cynerio가 발간한 “State of Healthcare IoT Device Security 2022”보고서에서 미국의 병원 300여 곳에서 사용하는 1,000만대 이상의 의료기기들 대상으로 조사한 결과를 보면, 2021년 의료 기관에 총 500건이 넘는 사이버 공격으로 인해 210억 달러의 손해를 입었으며, 랜섬웨어 공격은 전년대비 123% 폭증했고, 랜섬웨어 공격당 평균 800만 달러의 복구 비용이 투입되었고, 피해를 완전히 복구하는데 대략 287일이 소요되었다고 한다.

특히, 의료기기를 중점 분석한 결과, 53%가 중대한 사이버보안 위험에 노출된 것으로 나타났으며 그림과 같이 환자 병상 주변에서 사용하는 의료 기기들에서 발견된 취약점이 표에서 나타낸 바와 같았다.

보고서에 의하면 매달 한 번 이상 사용하는 IoT 기기는 79%에 달했으며, 한 달에 한 번도 사용하지 않을 수 있는 기기는 21%인 것으로 나타났다. 병원에서 사용하는 전형적인 의료용 IoT 기기의 38%는 정맥 주입 펌프(IV Pump)인데, 정맥 주입 펌프의 73%는 환자의 안전이나 데이터 기밀성, 서비스 가용성을 위태롭게 할 수 있는 취약점을 적어도 하나 이상 보유하고 있는 것으로 조사됐다.

CT, MRI, 심전도기, 초음파기기와 같이 고가의 의료기기들을 운용하기 위해서 여러 대의 PC 서버가 있어야 사용 가능한데, PC에 사용되는 OS 운영체제가 오래되었고 심지어 도입한 지 10년~20년 이상의 OS를 사용하고, 기기의 운용, 교체, 개선 등 작업을 제조사나 납품업체에서 수행하면서 원격에서 접속하여 관리하는 경우가 많다. 또한, Linux OS가 전 세계 웹 서버의 70%를 차지하고 IoT 기기의 48%는 Linux OS 기반 시스템임에 따라 최근 해커 특히 랜섬웨어 공격 집단이 의료기관을 대상으로 리눅스 기반 의료기기를 표적으로 삼는 경우가 대폭 늘어났다.

식품의약품안전처에서 2022년 1월 21일 발간한 “의료기기의 사이버 보안 허가·심사 가이드라인 (민원인 안내서)”에서 의료기기 보안 관련해서 정의한 의료기기 범주는 아래와 같다.

1. 유·무선 통신을 이용하여 환자의 생체정보 등 개인의료정보를 송수신하는 의료기기
2. 유·무선 통신을 이용하여 기기를 제어할 수 있는 의료기기
3. 유·무선 통신을 이용하여 펌웨어 또는 소프트웨어를 업데이트하는 의료기기

의료기관 종사자들이 식약처 가이드를 참고하여, 의료기기에 대한 사이버보안 위협 요소를 살펴보는 것이 중요하고, 아래 3가지 요소를 기반으로 의료기기에 대한 위험성을 고려해서 적극 대응하는 것이 필요하다.

(1) 의료기기가 병원 네트워크에 연결되어 작동하는가?
(2) 의료기기가 사이버침해를 당했을 경우, 그로 인하여 환자나 의료종사자들에게 직접적인 손상이 발생할 수 있는가?
(3) 의료기기에 혹은 의료기기를 통해서 얼마나 많은 보안 위협이 발생할 수 있는가?

국내 상급종합병원에서 사용하고 있는 의료기기가 평균적으로 1만여 대 이상에 달하고 많은 의료기관에서 다양한 의료기기를 사용하고 있기에, 의료기기 보안 관리를 위한 종합적인 체계 수립과 의료기기 보안 가이드 개발을 통하여 사이버 위협·공격에 대한 실질적인 대책을 마련하는 것이 시급하다.