체크포인트 "의료 IoT 기기, 보안 시급"

[아이뉴스24 최은정 기자] 최근 의료기관들이 신종 코로나바이러스 감염증(코로나19) 등 치료를 위해 사물인터넷(IoT) 기기를 다수 도입하면서 관련 사이버 보안이 시급하다는 주장이 제기됐다.

21일(현지시간) 보안기업 체크포인트는 "전원이 항상 켜져있고, 네트워크에 상시 연결된 IoT 기기의 보안 이슈가 의료기관이나 환자에게 해를 끼칠 수 있다는 우려가 커지고 있다"고 자사 홈페이지를 통해 밝혔다.

회사 측은 먼저 코로나19 시기 IoT 기기는 원격의료 등 서비스를 제공하는데에 큰 도움이 됐다고 설명했다. 체크포인트는 "팬데믹(대유행) 이후 연결성의 편리함은 계속해서 입증됐다"면서 "스마트, IoT 기기 등이 네트워크에 연결돼 있지 않은 조직들은 과중한 업무로 어려움을 겪었다"고 했다.

실제로 IoT 의료기기 시장은 지속 성장하고 있다. 시장조사 기관 마켓츠앤마켓츠에 따르면, 전세계 헬스케어 IoT 시장 규모는 지난해 725억 달러(한화 약 82조918억원)에서 오는 2025년 1천882억 달러(약 213조989억원)를 기록할 것으로 전망된다. 같은 기간 연평균 성장률(CAGR)은 21%에 이른다.

하지만 기기 관련 보안은 미흡한 것이 사실. 회사 측에 따르면 PC, 서버 등 기존 인프라에 비해 IoT 장치 취약성이 더 높다. 그 이유로는 PC·모바일에 비해 보안이 최우선으로 설계되지 않은 점, 초음파·자가공명영상(MRI) 등 장치가 지원 종료된 운영체제(OS)를 사용하고 있다는 점, 의료기기의 사이버 보안 인증·표준이 없다는 점 등을 꼽았다.

의료 시설에서 이미 여러개의 장치를 사용하고 있어 모든 장치에서 수행하는 작업을 추적하는 것이 어렵다는 것도 지적했다. 또 IoT 장치에는 표준화된 사용자 환경과 제어 기능이 없어 균일한 보안 정책 수립, 소프트웨어 업그레이드, 강력한 비밀번호 설정 등이 특정 보안 솔루션 없이는 힘들다고 설명했다.

회사 측은 "해당 요인으로 인해 해커들이 의료 환경의 IoT 장치를 손상하는 것은 매우 쉬울 것"이라고 덧붙였다.

국내 의료 시설도 이에 대비한 보안성 강화에 집중해야 할 것으로 보인다. 국내의 경우 식품의약품안전처, 한국인터넷진흥원(KISA) 등 기관을 중심으로 의료기기 보안을 안내하고 있는 상황.

식약처에서는 통신 기능이 탑재된 의료기기, 네트워크를 통한 의료 서비스 등을 대상으로 보안 적합성 검증을 실시해야만 인·허가를 내주고 있다. KISA는 경기 판교에 IoT 보안인증 센터를 운영하고 있으며, 기기 관련 가이드라인도 제공하고 있다.

하지만 이러한 보안 점검을 마쳤다고 해서 사이버 공격으로부터 완전히 안전해지는 것은 아니다.

김기수 KISA 융합보안정책팀 책임은 "사이버 공격 패턴·기법은 계속 진화하고 있어 보안성 검증을 마쳤다고 해도 보안 위협이 완전히 사라지는 건 아니다"라고 했다.

그러면서 "병원 등 의료기관이 폐쇄적인 시스템을 쓰고 있다고 하더라도 한 곳이 공격을 당하면 시스템 전체가 영향을 받게 되는 구조"라며 "보다 강화된 보안 정책을 수립하기 위해 정보보호관리체계(ISMS), 주요정보통신기반 시설 등 보안점검 항목을 참조해야 한다"고 강조했다. 이어 "정보보호 업체를 통한 컨설팅을 수행하는 것도 한 가지 방법"이라고 말했다.

/최은정 기자(ejc@inews24.com)