헬스케어 산업 사이버 공격에 대처하는 우리의 자세^^

지난 1월 미국 보험업계에서 심각한 사이버 범죄가 발생했는데요. 해킹으로 인해 미국에서 두 번째로 큰 건강보험회사 '앤섬(Anthem)'의 가입자와 직원 등 모두 8000만 명의 개인정보가 유출되는 사건이 있었습니다. 이 개인정보 유출은 미국 헬스케어 산업에서 발생한 사건으로는 그 피해 규모가 가장 컸을 뿐만 아니라 미국 내 사이버 공격의 대상이 서비스 제공업체에서 의료비 지급 업체 쪽으로 바뀌고 있음을 보여주는 대표적인 사례이기도 했죠. 이후 추가로 서로 다른 두 개의 보험사들이 해킹을 당해 추가로 약 1100만명의 개인 정보가 유출되었다고 합니다. 


Cybercrime1

 

이 건강보험사들은 모두 매우 고도화된 중국발 사이버 공격의 대상이었다고 합니다. 공격 방법으로는 APT(Advanced Persistent Threat, 지능형지속위협), 스피어피싱 등이 이용되었고요. 이런 해킹 수법들은 해커들이 공동 클라우드 데이터 서비스에서 데이터를 빼낼 수 있는 관리자 계정에 접근할 수 있도록 도움을 주었습니다.


최근 들어 전세계 조직이나 기업을 대상으로 한 해킹이 증가하는 추세를 봤을 때 국내 건강보험사 그리고 여타 헬스케어 관련 기업들도 더 이상 안심할 수 만은 없는 처지가 되었습니다. 더 나아가 대구 헬스케어 사물인터넷 실증단지 조성 등 앞으로 IoT 플랫폼을 기반으로 더욱 활성화 될 국내 헬스케어 산업에도 이런 해킹 트렌드가 어떤 영향을 미칠지에 대해 생각해보고, 이에 대한 방안 마련 역시 마련되어야 할 것입니다. 

 

그런데 갑자기 웬 헬스케어 산업 공격? 

 

헬스케어 산업의 사이버 공격 대응 문제를 다룬 시스코의 최신 백서에 따르면 헬스케어 산업은 이미 지난 수 년간 사이버 공격의 대상이 되어 왔다고 합니다. 하지만 안타깝게도 의료 및 건강보험 산업에서 현재 사용 중인 정보보안 기술은 그 정교함이 떨어져 대부분의 공격은 보고조차 되지 않은 것으로 확인되었습니다.



세상에는 종류의 기업이 있습니다.

해킹을 당한 기업과, 해킹을 당한 사실 조차모르고 있는 기업입니다.”

 

- 챔버스 시스코 회장,

2015 세계경제포럼(다보스 포럼)

 

그 뿐만은 아닙니다. 통장 잔고가 줄어든 사실은 금방 드러날 것이며, 또 많은 신용카드 번호가 도난될 경우 은행들은 이상을 감지하고 피해 가맹점을 찾으려는 노력을 기울일 수 있습니다. 하지만 누군가의 건강 정보 또는 개인 정보가 도용된 사실을 발견하기까지는 훨씬 오랜 시간이 걸리는 게 사실이지요. 모든 개인 정보 유출 또는 보험 사기 사건의 상관 관계를 분석해 공격의 근원지를 추적할 단일 기관이 존재하는 것도 아니다 보니 헬스케어 산업은 그 어느 곳보다도 쉬운 공격의 대상이 되고 있습니다.

 

두 번째 이유는 유출된 정보의 금전적 가치와 깊은 관련이 있습니다. 도난 당한 신용카드 번호가 현저히 늘어나면서 암시장 매매가는 지난 9개월간 급격히 하락했다고 합니다. 그런 반면 사이버 범죄자들은 몰래 빼낸 건강 관련 정보를 개인정보, 의료 처방 정보, 보험 정보 등으로 세분화해 좀 더 비싼 값에 넘길 수 있다고 합니다.


도난 당한 정보의 가격은 매일 매일 변하는데, 도난 당한 의료 정보의 가격은 계속 오르고 있는 반면 신용카드 정보는 그 가치가 나날이 떨어지고 있는 게 현실이지요. 추정치에 따르면 미국에서 신용카드정보는 건당 약 천원 미만에 거래되고 있지만 의료정보는 약 4~5만원 정도의 가격에 거래될 수 있다고 합니다. 정말 놀랄 노자지요?

 

사이버 범죄 경각심 높이고 정보보안 강화로 예방 나서야!


앞서 살펴 본 것처럼 미국의 헬스케어 기업들이 고도화된 사이버 범죄의 표적이 되고 있는 점은 분명합니다. 아직은 조사가 완료되지 않아 단정지을 수 없지만 앞의 세 사건들은 기회를 틈 탄 사이버 범죄자들이 저지른 단순 절도 행위가 아닌 국가 활동세력들이 장기적으로 그리고 진보된 수법으로 지속적인 공격을 펼친 것이 아니냐는 추측도 있는데요. 확실한 점은 범죄자가 누구든지 간에 그들의 관심사는 시장 가치가 높게 책정되는 의료˙건강 관련 정보라는 것이지요.

 

실제로 보안 전문가들은 이미 수년 전부터 헬스케어 산업 내 사이버 범죄 위험에 대해 경고해왔습니다. 해당 산업의 낮은 정보보안 수준은 물론 미국 내 다른 산업과 비교했을 때 매우 낮은 정보보안 예산 등을 그 이유로 꼽을 수 있는데요.

 

이보다 더 심각한 사실은 전방위적으로 위험이 알려져 있음에도 불구하고 이에 대응할 헬스케어 산업의 여건이 충분치 않다는 것입니다. 사이버 범죄가 발생한다 해도 이에 신속히 대응할 인적자원, 기술, 처리능력이 현저히 부족한 것은 물론, 정보보안 시스템을 강화할 전문가를 고용하거나 비공공 데이터를 보호할 첨단 보안 서비스 또는 장비를 구입하기에도 예산이 턱없이 부족한 실정이기 때문이지요.

 

ABI가 진행한 한 연구결과에 따르면 2020년까지 헬스케어 사이버보안과 관련해 세계적으로 약 100조가 사용될 것이라고 하는데요. 얼핏 듣기에는 어마어마한 수치 같지만 사실 이 금액은 중요한 보안 인프라스트럭처를 구축하는 비용의 십분의 일도 안되는 수준이라고 합니다 ^^; 정말 뭔가 시급한 대책을 마련해야 할텐데 말입니다.

 

전문가들은 무엇보다도  가장 먼저 보안 위협과 취약점에 대한 이해를 높이고 헬스케어 관련 자금이 운영되고 지원받는 방식에도 변화를 줘야 한다고 조언합니다. 다시 말해 사이버 범죄에 대한 경각심을 높이고 비용을 투자해 개인의 건강정보를 위탁받는 의료기관 또는 보험회사의 정보보안을 강화하라는 말이지요.

 

환자들이 개인정보를 믿고 제공하고, 안심하고 진료를 받을 환경 마련, 하루라도 빨리 해야 하지 않을까요?

보다 자세한 내용은 시스코의 헬스케어 산업 보안 백서를 통해 알아보시기 바랍니다 ^^


인터넷 시대의 거대한 퍼즐을 완성해 나가는 시작이 될 것입니다.

 

이번 포스팅은 시스코 글로벌 보안 자문 서비스 부서의 리처드 스테이닝스(Richard Staynings) 이사가 작성한 The Rise in Healthcare Cybercrime을 바탕으로 준비되었습니다.


 


저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License