"비밀번호는 1111" 원격의료, 모의 해킹에도 속수무책
의료정책연구소, 기술 안성평 평가…"보안사고 땐 3천억 피해"
최선 기자 (news@medicaltimes.com)
기사입력 : 2015-12-03 05:15
1
|메디칼타임즈 최선 기자| 의사협회 의료정책연구소가 실제 원격의료 서비스에 이용되는 의료기기에 대한 모의 해킹을 실시하는 등 다양한 경로의 개인정보 유출 가능성을 확인했다.

또 연구소는 최근 벌어진 약학정보원의 정보유출 사례를 원격의료의 위험분석 시뮬레이션에 대입, 보안사고 발생시 최대 3000억원에 달하는 피해가 발생한다고 위험성을 경고하고 나섰다.

2일 의협 의료정책연구소는 '원격의료체계 기술적 안전성 평가' 보고서를 발간하고 원격의료 서비스에서 취급하는 정보의 유출 가능성과 변조, 손실, 오류에 따른 피해 규모를 도출했다.

이번 연구는 크게 ▲원격의료 안전성을 평가할 수 있는 평가기준 개발 ▲시나리오 기반의 위험분석 시뮬레이션을 통한 피해 규모 도출로 나뉜다.

사진은 기사와 직접 관련이 없습니다.
평가기준은 국내외 원격의료 관련 모든 기준을 수용해 정보보호 정책, 접근통제, 암호화, 물리적·운영·인적보안, 정보보호 사고관리 등 일반 의료분야 13개 분류, 원격의료분야 3개 분류 등 총 195개 평가항목으로 구성됐다.

연구소는 "기존에 확인했던 원격의료 시범사업의 현장 확인 결과를 평가기준에 적용하자 모든 항목에서 보안 요구사항이 충족되지 않았다"며 "특히 원격의료 진료실에 대한 보호조치 부재, 비 인가자의 원격의료 시스템 접근 가능, 문제 발생시 대응절차 미흡 등의 문제점이 확인됐다"고 지적했다.

2014년 말 의협 연구원 2명과 고대 정보보호대학원 연구원 4명이 A 보건소에서 실시한 현장 확인에서는 다양한 보안 미비 사항이 발견됐다.

홈페이지가 암호화 돼 있지 않은 것은 물론 의료인의 원격진료 홈페이지 비밀번호가 동일 숫자 4자리에 불과해 보안에 취약했다.

또 원격의료 업무와 무관한 메신저, P2P 등 외부 파일 전송 프로그램이 설치돼 있어 의료정보의 외부 유출 가능성이 높게 점쳐졌다.

연구소는 "의료인이 원격진료를 위해 접속하는 원격의료 서비스 홈페이지 로그인 비밀번호가 동일 숫자인 1111로 설정돼 있었다"며 "심지어 로그인 아이디와 비밀번호, 개인정보도 암호화 없이 평문으로 전송되고 있다"고 지적했다.

실제로 연구소가 블루투스 혈압 측정계(UA767-PBT)를 대상으로 한 모의 해킹에서도 우려할 만한 보안 취약점이 발견됐다.

연구소는 "측정계가 전송한 네트워크 패킷 정보를 특정 도구를 통해 저장(탈취)해 세부적인 분석을 했다"며 "암호화 되지 않은 로그인 아이디와 비밀번호, 개인정보 모두 탈취가 가능했다"고 지적했다.

연구소는 "혈압 측정 결과의 혈압과 맥박도 평문으로 전송돼 정보의 탈취가 가능하다"며 "파라미터 변조를 통한 타인의 비밀번호 변경뿐 아니라 타인의 혈압 측정 결과의 변경까지 가능했다"고 강조했다.

개인정보 유출 가상 시나리오, 약학정보원 사례 대입하니

흥미로운 점은 연구소가 개인정보 유출 가상 시나리오에 약학정보원의 사례를 대입해 피해 규모를 추산했다는 점.

연구소는 내부 임직원이나 사이버 범죄가가 진단서 및 임상 결과를 유출하는 경우, 내부 임직원 혹은 사이버 범죄자가 주민번호 및 건강정보를 유출하는 경우 각 시나리오 별 피해 규모를 산출했다.

연구소는 "최근 약학정보원에서 7억여 건의 처방전 정보가 무단 유출됐다"며 "PM2000이라는 프로그램을 통해 환자나 의사 동의없이 개인정보, 의료정보 등이 무단으로 수집, 이용, 보관됐다"고 지적했다.

연구소는 "지금까지 개인정보 유출 사례를 보면 거의 100% 소송이 이뤄지고 있다"며 "개인정보보호 협회서 발간한 개인정보의 가치와 개인정보 침해에 따른 사회적 비용 분석 자료를 근거로 주요 피해 비용을 산출했다"고 밝혔다.

이에 따르면 한국의 기업 손실 비용은 의료정보 1건당 73.85 달러, 대응 인건비는 46.58 달러 선.

연구소는 기업 손실 비용에 서비스를 이용하는 인원(200만명)을 곱해 주요 피해 금액을 산출하고, 덧붙여 민사소송 참여자의 수(서비스 이용자의 약 1%)와 청구금액(250만원)을 곱해 추가 피해 금액을 추산했다. 여기서는 해킹 등 위험 요소의 접근 빈도와 해커의 숙련도, 보안 기술력 등이 변수로 작용했다.

연구소는 "모든 시나리오를 검토해보면 1건의 보안사고시 의료정보의 피해규모는 900억원에서 3000억원 정도에 달한다"며 "개인정보의 피해규모는 600억원에서 2500억원에 달한다"고 강조했다.

연구소는 "원격의료는 국민의 생명을 담보로 하기 때문에 보안 문제가 서비스 이해 당사자간의 문제로만 국한되는 것이 아니다"며 "정부가 이해관계자간 의견 교류 및 협업을 위한 생태계를 조성하고 의료 서비스의 기술적 안전성에 대해 검증하는 인증체계를 수립하라"고 촉구했다.
  • 메디칼타임즈는 독자의 제보에 응답합니다.
    • 이 기사를 쓴

      최선 기자

    • 식품의약품안전처와 제약바이오협회를 기반으로 국내제약사와 학술 분야를 취재 보도하고 있습니다.
    • 기사 관련 궁금증이나 제보할 내용이 있으면 지금 최선 기자에게 연락주세요.
      메디칼타임즈는 여러분의 제보에 응답합니다.
    • 사실관계 확인 후 기사화된 제보에 대해서는 소정의 원고료(건당 5만원)을 지급해드립니다.
      ※프로필을 클릭하면 기사 제보 페이지로 이동합니다.
    독자의견
    1
    익명의견 쓰기 | 실명의견쓰기 운영규칙
    닫기

    댓글 운영방식은

    댓글은익명게재 방식으로 운영되고 있습니다, 익명은 필명으로 등록 가능하며, 대댓글은 익명으로 등록 가능합니다.

    댓글의 삭제 기준은

    다음의 경우 사전 통보없이 삭제하고 아이디 이용정지 또는 영구 가입제한이 될 수도 있습니다.

    • 저작권·인격권 등 타인의 권리를 침해하는 경우

      상용 프로그램의 등록과 게재, 배포를 안내하는 게시물

      타인 또는 제3자의 저작권 및 기타 권리를 침해한 내용을 담은 게시물

    • 근거 없는 비방·명예를 훼손하는 게시물

      특정 이용자 및 개인에 대한 인신 공격적인 내용의 글 및 직접적인 욕설이 사용된 경우

      특정 지역 및 종교간의 감정대립을 조장하는 내용

      사실 확인이 안된 소문을 유포 시키는 경우

      욕설과 비어, 속어를 담은 내용

      정당법 및 공직선거법, 관계 법령에 저촉되는 경우(선관위 요청 시 즉시 삭제)

      특정 지역이나 단체를 비하하는 경우

      특정인의 명예를 훼손하여 해당인이 삭제를 요청하는 경우

      특정인의 개인정보(주민등록번호, 전화, 상세주소 등)를 무단으로 게시하는 경우

      타인의 ID 혹은 닉네임을 도용하는 경우

    • 게시판 특성상 제한되는 내용

      서비스 주제와 맞지 않는 내용의 글을 게재한 경우

      동일 내용의 연속 게재 및 여러 기사에 중복 게재한 경우

      부분적으로 변경하여 반복 게재하는 경우도 포함

      제목과 관련 없는 내용의 게시물, 제목과 본문이 무관한 경우

      돈벌기 및 직·간접 상업적 목적의 내용이 포함된 게시물

      게시물 읽기 유도 등을 위해 내용과 무관한 제목을 사용한 경우

    • 수사기관 등의 공식적인 요청이 있는 경우

    • 기타사항

      각 서비스의 필요성에 따라 미리 공지한 경우

      기타 법률에 저촉되는 정보 게재를 목적으로 할 경우

      기타 원만한 운영을 위해 운영자가 필요하다고 판단되는 내용

    • 사실 관계 확인 후 삭제

      저작권자로부터 허락받지 않은 내용을 무단 게재, 복제, 배포하는 경우

      타인의 초상권을 침해하거나 개인정보를 유출하는 경우

      당사에 제공한 이용자의 정보가 허위인 경우 (타인의 ID, 비밀번호 도용 등)

    • ※이상의 내용중 일부 사항에 적용될 경우 이용약관 및 관련 법률에 의해 제재를 받으실 수도 있으며, 민·형사상 처벌을 받을 수도 있습니다.

      ※위에 명시되지 않은 내용이더라도 불법적인 내용으로 판단되거나 메디칼타임즈 서비스에 바람직하지 않다고 판단되는 경우는 선 조치 이후 본 관리 기준을 수정 공시하겠습니다.

      ※기타 문의 사항은 메디칼타임즈 운영자에게 연락주십시오. 메일 주소는 admin@medicaltimes.com입니다.

    등록
    등록
    • 또 중요한것은230358
      2015.12.03 18:07:03 수정 | 삭제

      의료기관 IT아웃소싱 전문업체 보안관리도 중요합니다.




      특히, 의료기관들은 IT운영부문을 아웃소싱하고 있는 경우가 많고, 대부분 몇 않되는 특정 업체들이 여러 의료기관들의 IT운영아웃소싱 업무를 함께합니다.
      문제는 이 IT아웃소싱업체 저희에 여러 의료기관의 정보들을 모두 가지고 있고 중소기업이 대부분이다 보니, 그 보안관리실태가 많이 허술하기 때문에 의료 IT아웃소싱업체 하나만 털어도 수십개의 의료기관 정보를 한꺼번에 털수 있다는 심각한 문제점이 있습니다. 저희 회사에서 몇 년전에 수행했던 모 의료기관의 모의해킹 진단결과에서도 입증되었었고, 관련법적으로도 관리감독의 의무가 위탁기관인 의료기관에 있기 때문에 큰 사고발생이전에 사전 예방이 만드시 필요합니다.

      댓글 0
      등록