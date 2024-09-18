의료 서비스 제공업체는 환자 정보와 관련된 기술적, 관리적, 물리적 보호 조치를 시행해 왔지만, 의료 기기 보안에는 그다지 적극적이지 않았습니다. 이러한 디바이스는 환자 치료에 매우 중요하며 병원을 사이버 공격의 위험에 노출시켜 환자 치료에 큰 지장을 줄 수 있습니다.
실제로 미국 보건복지부에 따르면 지난해 8,800만 명이 대규모 침해 사고의 영향을 받아 방대한 전자 보호 건강 정보(ePHI)가 유출되었습니다. 올해에도 사이버 공격으로 인해 Change Healthcare, Kaiser Permanente 및 Ascension 등 여러 대형 의료 기관이 다시 피해를 입었습니다. Halcyon은 “런던의 핵심 실험실 및 진단 서비스 제공업체인 Synnovis가 랜섬웨어 공격의 피해자가 되어 광범위한 운영 중단이 발생했다”고 보도했습니다. The Guardian은 이번 공격이 Guy’s, St Thomas’, King’s College, Evelina Children’s Hospital, Royal Brompton, Harefield 심장 및 폐 전문 병원, Orpington의 Princess Royal Hospital 등 여러 병원에 영향을 미쳤다고 보도했습니다.
Statista의 보고서에 따르면 2029년까지 전 세계 병원 수는 총 166,548개에 이를 것으로 예상됩니다. HIPAA 저널에 따르면 병상당 연결된 의료 기기의 평균 수는 약 10~15개에 달합니다. 이 데이터에 따르면 2029년까지 전 세계적으로 연결된 의료 기기가 167만 대에 달할 것이며, 많은 기기가 보안을 고려한 설계(secure-by-design) 접근 방식 없이 제조될 것으로 예상됩니다. Ponemon Institute와 Proofpoint의 설문조사에 따르면 의료 기관의 89%가 일주일에 한 번 가까이 공격을 경험한 것으로 나타났습니다. 의료 기관의 53%가 사이버 보안 문제를 해결하기 위한 사내 전문 지식이 부족하다고 답했기 때문에 위험은 더욱 가중되고 있습니다. 병원에 있는 상호 연결된 의료 기기의 수가 방대하다는 점을 고려하면 이 수치는 놀라운 수준입니다.
의료 기기는 환자의 건강을 모니터링하도록 설계되었지만 해커가 병원 네트워크에 침입하는 주요 지점이 될 수도 있습니다. 의료 서비스 제공업체가 전자 건강 기록(EHR)의 보안을 개선하는 동안 해커는 이제 의료 기기를 표적으로 삼고 있습니다. 이로 인해 의료 기기 보안은 '코드 블루' 상황에 처하게 되었습니다. 몇 가지 예를 들어 보겠습니다.
레거시 장치: 현재도 사용 중인 많은 구형 의료 장비는 사이버 보안을 고려하여 설계되지 않았습니다. 이 장치들은 종종 오래된 소프트웨어를 실행하며, 이는 취약한 진입 지점을 만들어냅니다.
규제 격차: 식품의약국(FDA)은 최근 몇 년 동안 의료기기 규정을 시행하기 위해 중요한 조치를 취했지만 의료기기 제조업체와 의료 서비스 제공자의 규정 준수는 여전히 일관되지 않습니다.
보안 프로토콜 부족: 많은 의료 기기가 강력한 프로토콜 없이 설계되어 공격자의 쉬운 표적이 되고 있습니다.
복잡성: 의료 기기는 여러 구성 요소, 인터페이스 및 연결 옵션으로 인해 보안을 유지하기 어려울 수 있는 복잡한 시스템입니다.
상호 운용성 요구 사항: 의료 기기는 다른 시스템, 장치 및 네트워크와 통신해야 하므로 보안 위험이 발생합니다.
자원 부족: 일부 의료기기 제조업체는 적절한 보안 통제를 구현할 사이버 전문 지식이 부족합니다.
공급망 위험: 의료 서비스 제공업체는 의료 기기 네트워크 및 공급망 전반에 걸쳐 엔드투엔드 가시성이 제한된 경우가 많아 적절한 탐지 및 대응이 제한됩니다.
의료 기기의 이러한 취약성을 해결하면 의료 서비스 제공자 네트워크의 복원력을 크게 강화하고 사이버 공격의 위험을 완화하는 데 도움이 될 것입니다.
해커들이 가장 선호하는 표적이 되는 의료 기기의 예는 다음과 같습니다.
의료 서비스 제공자는 병원 인프라에서 상호 연결된 의료 기기를 안전하게 보호하여 위험을 완화하고 환자의 안전을 보장하는 것이 중요합니다.
의료 제공자는 생성형 AI을 활용하여 의료기기 보안을 강화하고 사이버 보안 태세를 강화하며 환자 진료의 질을 향상시킬 수 있습니다. 주요 전략은 다음과 같습니다.
규정 준수 모니터링: 생성형 AI를 사용하여 건강 보험 양도 및 책임에 관한 법률(HIPAA) 및 기타 규제 표준을 준수합니다.
위협 인텔리전스: 생성형 AI를 사용하여 대량의 데이터를 분석하고, 의료 기기에 대한 잠재적 위협을 탐지 및 대응하고, 의료 서비스 제공자에게 경고를 전달합니다.
데이터 프라이버시: 생성형 AI로 처리하기 전에 ePHI를 익명화하고, 환자 정보의 외부 유출을 방지하기 위해 토큰화를 도입하여 HIPAA 준수를 보장합니다.
교육: 의료 서비스 제공자가 인식을 개선하고 보안 위험을 최소화하며 규정 준수 요건을 충족할 수 있도록 AI 기반 사이버 보안 교육을 마련하세요.
패치 관리: 가장 중요한 취약점이 먼저 패치되고 의료 기기가 적시에 소프트웨어 업데이트를 받을 수 있도록 효율적인 AI 기반 패치 관리 시스템을 도입하세요.
인시던트 대응: AI를 사용하여 데이터를 분석하여 잠재적인 공격의 패턴을 식별하고, 분석가에게 인사이트를 제공하여 의사 결정과 경고 분석에 소요되는 시간을 단축합니다.
마지막으로, 의료 산업은 의료 기기의 디지털 연결성에 의존합니다. 의료 기기 제조업체는 전통적으로 안전한 설계 접근 방식을 따르지 않아 병원 네트워크 인프라에 위험을 초래했습니다. 공격자들은 이를 악용하여 랜섬웨어 공격을 성공적으로 실행하여 병원의 운영을 중단시키는 것은 물론 기타 유형의 사이버 공격을 시도하고 있습니다. 의료 서비스 제공업체는 사이버 보안 모범 사례를 구현하고 생성형 AI의 힘을 활용하여 환자 치료의 품질과 궁극적으로 환자의 생명 안전을 개선함으로써 의료 기기 보안을 크게 개선할 수 있습니다.
