미 정부의 노력에도, 보건의료계의 보안에 대한 명성은 그리 높지 않다. 다수의 유출 사건들이 매주 터져 나오고 있으며, 연방 건강보험 개혁법(A
건강 보험 데이터 관리자들은 ‘빅 데이터’ 보안 솔루션을 자신들의 시스템에 통합시킴으로써 환자 정보 보호를 강화할 수 있다. 하지만 이는 의료 보건 조직들에 더 많은 보안 과제를 남길 수 있다.
보안인식 교육 업체인 노비4(KnowBe4)의 CEO 스투 스주워먼은 “의료계에 알려진 데이터 유출 사고 회수는 놀라운 수준”이라고 말했다.
의료 데이터 해커들의 공격 대상으로 부상
의료 기관들은 점점 더 많은 데이터가 전자화되면서 더욱 자주 해커의 공격대상이 됐다. 미국 정부는 병원과 의료기관들에게 2015년까지 종이 문서 기록을 모두 전자 기록화하라고 2009년부터 권고했으며 이 기관들은 이를 따르고 있다. 컨설팅 업체 테이건포인트(TayganPoint)의 선임 컨설턴트 조안 워커는 “2015년이라는 시점이 의료 제공 조직들이 데이터를 적절히 보호하기에는 너무 촉박하다는 반발도 있다”고 말했다.
더 많은 의료 정보가 온라인에 올라갈 뿐 아니라, 이 데이터에 대한 접속권을 가진 이들도 늘어나고 있다. 소비자들은 온라인으로 그들의 의료 정보를 확인할 수 있고, 의료 전문가들은 전자 정보를 서로 공유, 협업하는데 사용할 수 있다. 산스 인스티튜트(SANS Institute)의 이머징 트렌드 이사 존 페스카토레는 “온라인에 민감한 데이터 증가와 여기에 대한 접속자 수 증가는 해커들에게도 더 많은 기회를 의미한다”고 밝혔다.
위험 관리 업체인 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 선임 전무이사 앨런 브릴은 “의료 보건 분야는 항상 해커들의 관심 대상이었는데, 이제는 그 매력이 더욱 상승했다”고 고 전했다.
이 매력의 일부는 데이터 포식자들의 ‘퍼펙트 스톰(Perfect Storm)’에서 유래된다. 의료 인력을 위한 인증 시스템 제조사 임프리바타(Imprivata)의 코텍스트(Cortext) 제품 그룹의 본부장 에드 가뎃은 “데이터의 일시적인 속성과 네트워크의 침투 속성으로 해커들이 의료 보건에 집중하게 된다”고 말한다.
의료 보건 조직의 데이터 보안 문제에다 네트워크에 연결된 MRI와 CAT 스캔 기계같은 의료 장비들이 문제를 더욱 심화시킨다. “이들 모두 네트워크에 연결되어 있고, 모두 인터넷에 접속되어 있고, 모두 제조사가 패칭하지 않은 취약점들을 가지고 있다. 이는 제공자들에게 완전히 다른 유형의 보안 과제를 안긴다”고 페스카토레는 설명했다.
해커들에게 돈이 되는 의료 정보
의료 보건 기관들이 환자 의료 기록을 인증되지 않은 염탐꾼들로부터 보호하는데 걱정하는 일은 언제나 있었지만, 그 정보로 디지털 강도들이 금전적 이득을 노리는 것은 완전히 새로운 문제가 됐다. 테이건포인트의 선임 컨설턴트 제이 스타넬은 “의료 보건 업계의 주 업무는 환자 치료다”고 설명했다. “만약 이들이 사람을 살리는 의료 영상 기기와 다중 시스템 보안 중에서 어느 곳에 예산을 쓸지 선택해야 한다면, 쉽지 않은 결정이 될 것이다”라고 스타넬은 덧붙였다.
하지만 이런 결정들을 내려야 한다. 전자 정보가 모든 전자 정보가 그렇듯 해커들에게도 똑같이 매력적이기 때문이다. 버라이즌(Verizon)의 리스크팀 선임 애널리스트 수잔 위덥은 “의료 보건 분야는 신용카드 납부로 손쉽게 변환될 수 있는 금융 정보나 위조 신분이나 세금 탈루를 위한 주민등록 번호 같은 유형의 수많은 공격의 대상이 되었다”고 밝혔다.
“이런 의료 보건 교환소들이 온라인에 올라옴에 따라, 범죄자들의 상당한 연구가 뒤따르게 될 것이다”고 위덥은 덧붙였다.
포네몬 인스티튜트(Ponemon Institute)의 창업자이자 의장인 래리 포네몬은 인터넷 도둑들에게 이런 교환소들은 손쉬운 공격대상이라고 주장했다. “이런 교환소에는 개인에 대한 수많은 정보가 보관돼 있고, 이는 가짜 자격과 가짜 신분을 만드는데 큰 도움이 될 것이다”고 그는 이야기했다.
“이런 작업은 급히 이뤄졌고, 보안 기능도 강력하지 못하다”고 포네몬은 말했다. “이런 교환소들은 자체 데이터베이스를 구축하고 있지만, 추가적인 특별 보안책은 마련되지 않고 있는 것으로 보인다”고 그는 덧붙였다.
의료 기관들 역시 내부 공격을 받고 있다. “우리는 데이터에 대한 접속권이 있고, 외부 범죄자들에게 자료를 건네줄 수 있는 내부 인력에 대한 내통 사건도 종종 경험하고 있다”고 위덥은 말했다.
더군다나 모든 규모의 의료 보건 조직들이 해커의 공격 대상이다. 컴퓨터 5대에서 120대까지 운용하는 치과 병원들에 컨설팅 서비스를 제공하는 팩트원(PactOne)의 회장 댄 에드워드(Dan Edwards)는 그런 의료기관에 랜섬웨어(ransomware) 공격이 흔하다고 말했다.
전형적인 랜섬웨어 공격에서는 악성코드가 컴퓨터의 모든 데이터를 암호화시켜 버린다. 그러고 컴퓨터 운영자에게 데이터 암호 해독 키를 받으려면 돈을 내라고 알리는 식이다. “그들은 돈을 받는다고 해도 해독 키를 바로 내주지 않아 데이터에 여전히 접속하지 못하는 일이 생긴다”고 에드워드는 말했다.
그런 사례들에서, 조직은 안전한 스토리지의 가치를 빠르게 배우게 된다. 만약 사무실에서 꾸준히 데이터를 백업해왔다면, 그 백업에서 랜섬웨어 공격을 받은 데이터를 복구하고 운영 지장을 최소한으로 줄일 수 있다.
빅 데이터, 의료 보안 솔루션으로 부상
의료 보건 기관에 대한 사이버 공격이 다른 산업분야처럼 늘어나면서, 이들은 그들의 대규모 정보를 보호하기 위해 빅 데이터 솔루션에 의존하기 시작할 것이다. 정보 기술을 통해 더 나은 건강을 도모하는 활동을 벌이는 세계적인 비영리단체인 미국 보건 의료 관리 협회(Healthcare Information and Management Systems Society)의 기술 프라이버시와 보안 솔루션 이사인 리 킴은 “인간이 지능적으로 정확하게 안정적으로 전자 정보 기록에 대한 비정상적인 접속 활동을 감지해내기란 불가능하다”고 말했다.
김은 네트워크 트래픽을 빅 데이터 툴을 사용해 분석해서 개별 사용자들의 사용 기본량을 설정할 수 있다고 설명했다. “행동에 이상 징후가 감지되면, 발견적인 분석이 그 현황을 파악하고 실시간으로 감시할 수 있다”고 킴은 말했다.
“그런 식으로, 잠재적인 범죄 활동이나 내부 위협이 발생하면, 보안팀이 최대한 빠르게 이를 차단할 수 있다”고 킴은 설명을 덧붙였다.
모든 빅 데이터 보안 셋업에서 모든 관련 데이터를 면밀히 검토하는 것이 과제다. 점점 더 많은 기기들이 의료 보건 조직의 네트워크에 접속함에 따라 이 문제는 점점 심각해지고 있다. “그들의 데이터가 어디에 존재하는지를 꼭 알 필요가 있다. 그렇지 않으면 데이터가 안전한지 확인하기 힘들기 때문이다”고 버라이즌의 위덥은 말했다.
게다가 해커들이 관심을 갖는 데이터는 단지 환자 의료 기록과 네트워크에 연결된 의료 장비만이 아니다. 데이터가 있는 의료비 지불 체계의 어느 지점이라도 공격 대상이 될 수 있다. 예를 들어 식당 매대와 써드파티가 설치한 인터넷 연결된 병원비 수금 시스템도 범죄자들의 공격을 받을 수 있다. “우리는 그런 침투사례들도 목격했다”고 위덥은 말했다.
빅 데이터 보안 솔루션을 배치할 때, 조직 취약성을 더욱 악화시키지 않도록 신경 써야 한다. 투 빅 투 이그노어(Too Big to Ignore: The Business Case for Big Data)의 저자 필 사이먼(Phil Simon)은 “대부분의 병원에서는 사일로로 보안을 관리한다”고 말했다.
“이들 기관은 데이터를 분산시켜 놓았는데, 그 데이터는 데이터 소스 사이에 다리를 놓기 위해 합쳐지고, 이후에 그 다리를 적절히 테스트해야 한다”고 그는 설명을 이어갔다.
“우리는 어디든 데이터 소스가 존재하는 세상에 살고 있다”고 사이먼은 말했다. “여기에서 막대한 기회를 조직들이 이용할 수 있지만, 그들이 하는 일을 제대로 관리하지 않는다면 보안 문제가 발생하고 미국 건강보험 양도 및 책임 법률(HIPAA)를 위반과 공개적인 이미지 실추로 이어질 수 있다. 이는 많은 의료 기관들이 빅 데이터에 손대기를 주저했던 이유들 중 하나다.
빅 데이터 써드파티 관리 감독
많은 의료 보건 조직들에는 빅 데이터 솔루션을 직접 도입하고 관리할 능력이 없기 때문에, 이들은 종종 써드파티에 일을 맡겨야 한다. 만약 계약한 써드파티 업체가 의료 보건 규정에 어두운 경우에는 문제가 발생할 수 있다. “빅 데이터에 특화된 써드파티 조직들은 그 데이터를 다루는데 아주 익숙하기 때문에, 대부분의 업체들이 어떻게 데이터 보안을 적절히 수행할지에 대해 잘 알고 있다고 생각한다. 하지만 미국 건강보험 양도 및 책임 법률 하이테크 준수 검토는 해본 적이 없을 것이다”고 크롤의 브릴은 설명했다.
“이 배치된 메커니즘은 미국 건강보험 양도 및 책임 법률과 하이테크 기술을 모든 주마다의 사생활 보호법을 덧씌워 합친 것으로, 당신이 의료 보건 조직이 아니고 환자를 직접 대변하지 않는다 하더라도 준수해야 한다”고 브릴은 덧붙였다.
많은 신기술들에서 그렇듯, 의료 보건 조직의 정보를 해커들로부터 보호하는 빅 데이터의 능력은 과대평가된 측면이 있다. “빅 데이터가 보안 문제를 해결한다는 주장은 아주 과대 포장된 설명이다”고 SANS의 페스카토레는 말했다. “빅 데이터 툴은 당신이 어떤 잘못을 했는지 찾아내고, 성공한 공격 경로를 찾아내는 데는 유용하지만, 공격을 차단할 수 있는 빅 데이터 툴은 보지 못했다”고 페스카토레는 전했다.
그렇지만, 그 툴들은 공격을 받았을 때 조직의 반응 시간을 단축시킬 수 있다. “보안 분석 툴은 잠재적 침투의 징후를 더욱 빠르게 감지하고, 공격의 피해를 제한하는데 사용될 수 있다”고 페스카토레는 덧붙였다. “당신의 시스템이 6개월간 침투당했었다는 이야기를 고객으로부터 듣는 대신, MRI 기계가 인터넷에 경고를 보내는 장면을 볼 수 있는데, 이는 지금까지 없었던 일이다”고 그는 밝혔다. ciokr@idg.co.kr
