스마트 의료기기의 문제점- IoT 보안
뉴스 스크랩
기사 제목: 커넥티드 디바이스를 활용하는 기업을 위한 IoT 보안 전략
기사 링크:https://www.itworld.co.kr/t/63417/IoT/261208
FHS는 커넥티드 의료 기기의 취약점을 스캔하고 보안 소프트웨어를 설치해 해킹을 방지하기를 원하지만, 쉬운 일이 아니다. 의료 기기 업체들은 매우 비협조적이고, 모두 자체 운영체제와 도구를 사용하고 병원은 이런 기기를 스캔할 수 없다. 보안 소프트웨어도 설치할 수 없으며, 이 기기가 무슨 일을 하는지 확인할 수 없다.
의료 사이버 보안 업체 시네리오(Cynerio)의 올 초 보고서에 따르면, 의료 기기 중 53%는 최소 1개의 치명적인 취약성을 보유하고 있다. 공격자가 온라인으로 손쉽게 찾을 수 있는 기본 비밀번호와 설정을 적용하거나 오래된 윈도우 버전으로 구동하는 경우가 많다.
포네몬(Ponemon)의 2021년 조사에 따르면, IoT 또는 의료 기기에 대한 공격이 전체 의료 해킹의 21%를 차지했다. 피싱 공격과 같은 비율이다.
IoT 가시성 확보
IoT 보안의 첫 번째 과제는 기업 환경에 어떤 기기가 있는지 확인하는 것이다.
네트워크 스캔 도구를 제공하는 솔루션 업체들이 많이 있다. 체크포인트, 팔로 알토 등의 기기는 수동 스캔을 연속적으로 실행할 수 있으며, 새로운 기기가 감지되면 보안 정책을 자동으로 적용한다. IoT 스캔 도구가 없는 기업들은 이미 협력하고 있는 보안 제공업체들과의 대화를 먼저 시도해야 한다.
IoT 내부 들여다보기, 모니터링 및 감독
IoT 기기를 발견 및 조사하면 다른 네트워크 기기와 같은 엄격함으로 관리 및 보호해야 한다. 이를 위해 구성 관리, 취약성 스캔, 트래픽 모니터링 같은 기능이 필요하다. 심지어 외부 네트워크에 연결되지 않은 기기도 기업 내부에서 횡적으로 이동하는 공격자에게 중간 스테이징 포인트(Staging Point) 또는 숨는 장소가 될 수 있다. 존재조차 몰랐던 취약성이 있을 수 있고, 너무 위험할 경우 기기를 없애거나 추가적인 관리책을 마련해야 한다.
모든 기기가 확인되고 위험에 따라 분류되며, 가능한 범위까지 패치 및 업데이트되면, 기업에 가장 큰 피해를 입힐 가능성이 있는 취약성을 중심으로 모니터링 프레임워크를 구축해야 한다.
IoT와 제로 트러스트 미래
기업들은 제로 트러스트 아키텍처로 이동하는 상황에서 커넥티드 디바이스를 간과하면 안 된다. 제로 트러스트 원칙과 설계를 통한 보안을 활용하여 기기와 관련된 애플리케이션을 강화해야 한다. 제로 트러스트는 기기 식별과 인증 뿐 아니라 신뢰할 수 있는 기기 업데이트와 공급망 부당 변경 방지 등의 보호 제어부터 시작되며, 통신도 안전해야 한다.
핵심 기술 및 비즈니스 소개
제로 트러스트는 조직 네트워크 아키텍처에서 트러스트의 개념을 제거해 데이터 침해가 일어나지 않도록 예방하는 전략적 이니셔티브이다. "절대 신뢰하지 말고 상시 검증하라(Never Trust, Always Verify)"는 원칙을 기반으로 하는 제로 트러스트는 네트워크 세그먼테이션, 내부망 이동 차단, L7 위협 방지, 세분화된 사용자 액세스 제어 단순화를 활용하여 최신 디지털 환경을 보호하도록 설계되었다.
제로 트러스트는 기존 보안 모델에서 사용하는 ‘조직 내 네트워크에서는 모든 것을 신뢰해야 한다’는 가정이 틀렸다는 것을 깨닫고 창안한 개념이다. 이 고장 난 트러스트 모델에서는 사용자의 자격 증명이 해킹되지 않았고 모든 사용자가 책임감 있게 행동하며 신뢰할 수 있다고 가정한다. 제로 트러스트 모델은 신뢰를 취약점으로 인식하고, 사용자(위협 행위자와 악의적 내부자 포함)가 일단 내부망에 진입하면 자유롭게 이동하면서 접근 권한이 있는 모든 데이터에 액세스하거나 이를 유출한다.
시사점 및 인사이트
스마트 헬스케어 등 다양한 분야에서 활용되는 IoT 기기는 원격의료에 활용되거나, 의료 데이터 활용 연구 등 긍정적인 기능을 가지고 있다. 하지만 본 기사를 통해 데이터 보안 취약성 등 치명적인 문제점 또한 가지고 있다는 점을 알 수 있다. 보안이 취약하면 추후 악성 행위, 잔여정보 악용, 변조된 데이터로 인한 오작동 등 더 심각한 문제를 발생시킬 수 있다. 이를 통해 디지털 헬스케어 전환 과정에서 고려해야 할 부분에 대해 생각해 볼 수 있을 것이며, 제로 트러스트 아키택쳐 등 새로운 보안 이니셔티브를 통해 이에 대한 해결 방안 등을 생각해 볼 수 있을 것이다.
같이 생각해 볼 만한 논점
1. 보안문제 이외에 IoT 의료 기기가 가질 수 있는 또 다른 문제점은 무엇이 있을까?
2. IoT 보안 공격에 취약한 산업은 무엇이 있으며, 어떠한 문제를 발생시킬 수 있을까? 이를 위한 대비책으로는 어떤 것이 있을까?
