의료보안/자료실

스마트의료 사이버보안 가이드, KISA - 2018.05.29

netana 2019. 12. 30. 23:22

최근 네트워크 기반의 의료기기 및 의료정보시스템의 증가와 인공지능, 빅데이터 등 최첨단 기술이 빠른 속도로 의료기관 내외의 각종 관련 시스템에 도입됨에 따라, 환자정보를 포함한 민감한 개인정보가 수집・유통・활용되고 있다. 이에 따라 의료기관 및 의료정보를 대상으로 하는 사이버 공격의 위협이 급증하고 있다. 실제 최근 2017년 5월에 발생한 워너크라이(Wanna Cry) 랜섬웨어 공격으로 영국의 ‘국민건강서비스(NHS)' 산하 40여 개의 병원 PC가 감염되어 모든 의료서비스가 중단된 사태는 의료기관의 정보보호 취약성과 위험성을 단적으로 보여주는 예라고 할 수 있다.


의료기관에 사이버 침해사고가 발생하여 진료서비스가 중단되거나 의료기기의 오작동이 발생하면 환자의 생명과 건강에 치명적인 손상이 발생할 수 있다. FDA는 2017년 1월 세인트주드메디컬(SJM) 사의 몸속에 이식하는 심장박동기에서 배터리를 단시간에 소진시키거나 심박수를 위험수준까지 급상승시키는 오작동을 발생시킬 수 있는 보안취약성을 발견했다고 발표하였다. 이미 전 세계적으로 수십 만 대가 보급되었던 해당 제품에 대한 보안 경고는 의료기기의 사이버공격의 위험성에 대한 경각심을 불러일으키는 계기가 되었으며 최근 50만대의 리콜 조치가 이뤄지는 등 현재까지 후속조치가 이어지고 있다. 

현재 의료기관에서는 보안패치와 업데이트가 불가능할 정도로 노후화된 의료기기와 네트워크 기반의 최첨단 의료기기 및 의료정보시스템이 공존하면서 운용되고 있다. 규모나 특성, 용도가 다양한 수 만대의 의료기기들이 현황파악도 되지 않은 채로 IT 담당자는 물론 의료기기 담당자의 관리 범위 밖에서 가장 취약한 잠재적 공격면(attack surface)으로서의 위험성을 내포하고 있다. 
미국 등 선진국에서는 2010년 10월부터 IEC 80001 시리즈를 통해 IT 네트워크와 의료기기가 통합되는 의료 환경에서 급격하게 증가하는 중요시스템 관련 위험을 의료제공자 및 의료기관이 적절하게 관리할 수 있는 가이드를 국제표준으로 개발하고 있다.
의료분야의 사이버보안에 대비한 국제표준 활동이 활발한 데 비해 국내 의료계의 현실은 예산 및 인력 부족과 기술적 지원 미비, 보안인식 부재 등으로 인하여 정보보호 관점에서 전반적인 의료기기 실태조사가 부재하고 의료기관의 보안을 내재화 할 수 있는 일관성 있는 정책이나 지침이 부족한 형편이다. 
따라서 본 보안 가이드 개발을 통해 지능화되고 고도로 발전하고 있는 의료기관의 사이버 보안 위협을 소개하고 대비할 수 있는 대응방안을 제시하고자 한다. 


1장 개요
1. 배경 및 목적
1.1 스마트의료 보안 현황
1.2 가이드의 목적
1.3 가이드의 구성
2. 적용 범위

2장 스마트의료 구성 및 보안위협
1. 스마트의료 구성
1.1 스마트 의료기기
1.2 스마트의료 게이트웨이
1.3 스마트의료 네트워크
1.4 스마트 의료정보시스템
2. 스마트의료 보안위협
2.1 스마트의료기기 보안위협
2.2 의료 게이트웨이 보안위협
2.3 스마트의료 네트워크 보안위협
2.4 의료정보시스템 보안위협

3장 스마트의료 보안 대응 방안
1. 스마트의료 보안위협별 대응방안
2. 대응방안
2.1 사용자 접근통제 및 인증
2.2 패스워드 및 암호화 키 관리 방안
2.3 의료기기 임베디드 보안
2.4 데이터 보호 
2.5 게이트웨이 보안  
2.6 악성코드 감염 방지 
2.7 이동식 저장매체(USB 등) 보안  
2.8 소프트웨어 보안패치  
2.9 시큐어코딩 
2.10 네트워크 보안
2.11 무선 네트워크 보안
2.12 망분리

2.13 의료기기 보안성 검토 
2.14 감사로그 기록 및 관리

부록
부록1 의료기기 구매 시 검토 사항 - Mayo Clinic 예
부록2 국내외 의료기기 보안가이드 현황 
부록3 의료기기 정보보호 관련 국제표준 비교
부록4 전자의무기록 서식지의 의료정보
부록5 용어정리 
부록6 참고문헌

 

 

스마트의료__보안가이드_최종본(공개용).alz
10.00MB
스마트의료__보안가이드_최종본(공개용).a00
2.49MB

 

출처 : KISA

 

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

기술안내서 가이드 기술안내서 가이드 상세보기 제목 스마트의료 사이버보안 가이드 담당자 융합보안정책팀  이현철  전화 061-820-1292 이메일 등록일 2018-05-29 조회수 6316 첨부파일 스마트의료__보안가이드_최종본(공개용).pdf    기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 정보보호 시스템 안전 신규 서비스 정보 보호 스마트의료 사이버보안 가이드 의료기기 제조사, 병원 내 보안/전산 등 업무 관계자 중급

www.kisa.or.kr

 

저작자표시 비영리 변경금지