의료기기, 국제표준 따르지 않으면 보안사고 발생 및 수출도 어려워
21일 코엑스에서 개최된 K-HOSPITAL FAIR 2020(국제 병원 및 의료기기 산업박람회)에서 대한병원정보협회(회장 한기태. 건국대병원 정보보호팀장) 주최 학술대회가 ‘COVID19와 의료정보보호’란 주제로 열렸다.
이 자리에서 한근희 고려대학교 정보보호대학원 교수는 ‘With 코로나와 비대면(원격) 의료보안’을 주제로 강연을 진행했다.
한근희 교수는 “코로나19 영향으로 향후 비대면 진료가 폭발적으로 증가하고 그에 따른 보안 이슈도 급증할 것”이라며 “이는 바이오헬스 시장의 새로운 도전 과제가 됐다. 특히 비대면 진료에 급증할 의료정보의 입력/수집, 저장, 전송/전달 등에 대한 관리와 보호 방안 마련은 병원들의 당면 과제가 됐다”고 전했다.
애플, 구글, 아마존, 마이크로소프트 등은 이미 스마트 헬스케어 시장에 다양한 서비스를 출시하며 비대면 진료 시대를 맞을 준비를 하고 있다. 또 5G로 인해 비대면 원격 수술 사례도 나오고 있고 6G 시대가 오면 더욱 증가할 것으로 전문가들은 보고 있다.
원격으로 의료 자문, 건강상태 체크, 질병진단과 처방, 치료와 수술까지도 가능한 시대가 도래하고 있는 상황이다.
환자가 의료기기를 통해 의료정보를 측정하고 이를 병원 게이트웨이로 전송해 진단시스템에 올리면 원격지에 있는 의사가 진단결과와 처방을 환자에게 전달하는 방식이다. 실시간으로 의사와 의사간 자문과 협진도 가능해진다.
한 교수는 강연중 지난 5년간 전국 각지를 돌며 원격/비대면 의료기기 연구 결과를 소개해 눈길을 끌었다. 충남 홍성의 보건소에서 원격으로 요양기관 환자의 건강 상태를 체크해 의료서비스를 제공하고 있는 사례였다. 특히 원격 의료기기는 국제 표준을 따르는 것이 중요해 표준 마련도 준비하고 있다고 전했다.
한편 의료시스템 원격관리도구의 문제점도 지적했다. 그는 “ICS의 31% 이상이 RAT(원격 관리 툴)가 설치돼 있고 RAT 5개중 1개가 ICS 소프트웨어에 기본적으로 탑재돼 있다. 바로 이 RAT가 해커들의 표적이 되고 있고 권한 획득후 해킹을 시도하고 있다”며 “현재 의료기관에서 사용하는 의료기기, 원격기기들 모두 개발단계에서부터 보안이 적용돼야 한다. 보안적용이 되지 않으면 해킹사고 위험성도 높고 의료기기 보안에 대한 해외 규제가 강화돼 수출도 할 수 없다”고 강조했다.
이어 “고려대 연구실에서 조사한 결과 의료시스템 RAT를 조사한 결과 7개의 보안취약점이 발견된 바 있다. 이 취약점들이 해킹의 통로로 활용될 수 있어 각별히 주의해야 한다”며 “의료 ICS 제품들의 보안 필수 적용이 꼭 필요하다”고 덧붙였다.
원격 의료시스템에서 발견된 7개 보안취약 부분은 △환자 또는 사용자 △원격의료단말기 △홈 네트워크 △게이트웨이 단말 △인터넷망 △원격의료시스템 △의료진, 간호사, 시스템 관리자 등이다.
예상할 수 있는 비대면 의료 보안취약점은 △스마트기기, 의료기기를 통한 악성코드 삽입, 데이터 변조 가능성 △도청, 변조 등을 통한 개인정보 및 환자의 민감정보 유출 가능성 △PC, 시스템, 게이트웨이 등 알려진 취약점을 이용한 공격 가능성 △데이터베이스, 운영체제, 어플리케이션 등 알려진 취약점을 이용한 공격 가능성 등이다.
특히 한 교수는 의료 소프트웨어 개발 및 인증시 국제표준을 강조했다. 주요 국제표준은 다음과 같다. 의료/헬스기기들이 아래 요구사항을 충족하지 못하면 수출이 불가능하다.
△ISO 13485: 의료기기의 설계 및 개발, 생산, 저장과 유통, 설치, 서비스 및 최종
해체/폐기를 포함한 의료기기 수명 주기의 하나 또는 그 이상의 단계와 관련 활동(2016년 개정)
△ISO 14971: IEC 60601-1(전기적 안전성), ISO 13485(품질 관리 시스템), IEC/EN 62366(의료기기 사용 편의성), ISO 10993(생물학적 평가) 그리고 IEC 62304(의료기기 소프트웨어)를 포함한 다수의 주요 의료 기기 표준을 참조로 위험 관리 원칙과 실행을 상세히 명기.
△IEC 82304-1: 헬스 목적 소프트웨어 시스템에 대한 표준 요구사항
△IEC 62443 Standards: 의료 관련 제품 개발시 표준 요구사항
△IEC 62443-4-1: 보안 제품 개발 라이프사이클 요구사항
끝으로 한근희 교수는 ‘스마트의료보안포럼’을 소개하며 “포럼은 의료표준화 관련 기술 개발 활동을 지속적으로 수행해왔으며, 다수의 연구 수행경험과 논문, 특허, 기술이전 성과를 보유하고 있다. 이런 전문성을 기반으로 비대면 의료 환경에서 사용하는 의료기기 대상 정보보호 프레임워크의 ISO TC 215 WG 4 국제 표준 개발을 진행 중”이라고 밝혔다.
[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]
-날짜: 2020년 11월 10일 화요일
-장소: 서울 양재동 더케이호텔서울 2층 가야금홀
-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자
(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)
-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정
-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에
-사전등록: 클릭
-참가기업 모집중: mkgil@dailysecu.com으로 문의
★정보보안 대표 미디어 데일리시큐!★