규정 준수를 넘어 :
사이버 위협과 의료
규정 준수를 넘어 : 사이버위협과의료 2
주요 내용 요약
의료산업계는다양한위협범죄자와악의적인활동에노출되어있습니다. 사회에서의료산업이수행하는역할의중요성과가장민감한개인정보를다룬다는점을 고려하면이산업에대한위험은특히막대한피해를초래할수있습니다. 범죄자들이개인신원확인정보(PII)와보호되는의료정보(PHI)를금전화하려는 시도를하고, 첩보수집을목적으로국가차원에서중요한연구기록과대량기록을빼내기위한침입작전을펼치는경우가있습니다. 또한랜섬웨어와같은 파괴적인위협은병원네트워크에서막대한피해를입히는한편중요한생체의료장비와시스템에영향을미칩니다. 이산업부문의조직이기존의규정을준수하는 데그치지않고끊임없이변화하는위협환경에대처하려면위협인텔리전스를활용하여끊임없이진화하는이같은위협을파악하고위험을적절하게최소화해야 합니다.
FireEye가이산업부문전반에서위협활동을관찰한결과, 의료기관에대한위협을다음과같이분류할수있었습니다.
데이터도용
• 금전적동기의위협활동은의료기관에서발생빈도가높고피해도큽니다. 금전적동기의위협활동은의료기관에서발생빈도가높고피해도큽니다. 사이버
범죄자는중요한환자기록과데이터가저장되어있거나그러한정보에액세스할수있는특정표적을집중적으로공격하거나, 보안이허술한조직과네트워크를 표적으로기회를엿보는공격을감행합니다.
• 사이버범죄활동과비교했을때사이버스파이작전은그빈도는낮지만특히업계의일부의료기관에게는유의해야할정도의피해를초래할수있습니다.
FireEye가이같은위협범죄자(특히중국과연관이있는범죄자)에서관찰한활동중상당수는잠재적으로인텔리전스운영을위해의료조사데이터를
입수하고대규모정보데이터세트를수집하는데그목적이있는것으로보입니다.
• 2018 M-Trends 보고서에서 FireEye는사고발생후다시표적이되는사례가산업부문중의료산업에서세번째로많이나타난다는것을관찰했습니다.
파괴적인위협
• 사이버갈취범과국가차원의범죄자로인해발생하는파괴적인위협은이산업분야에서
의료서비스제공자와기타조직의운영연속성을꾸준히위협하고있습니다.
• 침해후에는랜섬웨어와같은표적활동이수행되었고, WannaCry 같이빈도는낮지만광범위한국가차원의위협이보안이허술한인프라를위협할수 있습니다.
• 중요인프라내의운영기술네트워크와마찬가지로, 의료서비스제공자내부의보안조직은이같은시스템을노리는위협에대한가시성을유지하는데 어려움을겪고있습니다.
앞으로병원및의료서비스제공자내에서중요기능에사용되는생체의료장비가늘어나면서보안문제도갈수록커지게됩니다. 게다가그중요성과가치를 고려했을때, 사이버범죄를저지르고자하는의지의증가로인해, 또는지정학적긴장이고조되는기간에국가차원의범죄자들이파괴적인도구를배포하려는 행위는오늘날까지관찰된이러한위협으로인한피해를현저히증가시킬수도있습니다.
사이버범죄
• 금전적동기의위협활동은거의대부분의경우의료기관에서발생빈도가높고피해도큽니다. 주로 PII, PHI, 중요시스템에대한액세스등이표적이됩니다.
• 관찰된활동으로는인증도용악성코드배포, 크립토마이닝, 공격을통해입수한의료시스템에대한액세스판매,
랜섬웨어를통한병원시스템의암호화, 갈취캠페인등이있습니다.
• 여러지역에서다양한사이버범죄자들이의료산업을노립니다. 관찰및추적된그룹으로는 TEMP.Demon과 thedarkoverlord가있습니다.
사이버스파이활동과국가차원의위협
• 의료부문을표적으로삼는일반적인빈도수의스파이활동도주목할만한피해를입힐수있습니다.
• 의료부문을표적으로삼는것으로관찰된범죄자로는중국과관련된 APT10(Menupass), APT41, 러시아와 관련된 APT28(Tsar)과 APT29(Monkey), 베트남과관련된 APT32(OceanLotus) 등이있습니다.
• 이부문, 특히의료서비스제공자를표적으로한파괴적인캠페인은상당한피해부터엄청난피해까지초래할수
있습니다.
핵티비즘과정보작전
• FireEye Intelligence는의료부문에서핵티비스트캠페인은흔하지않은위협으로, 표적이된조직에 무시해도될정도이거나약소한피해만초래한다고진단합니다(보통신뢰도수준).
• 의료부문에영향을미치는정보작전은대개낮거나보통수준의심각도로영향을미치고자주발생하지않는
위협임이거의확실합니다.
• 최근몇년사이에의료관련메시지를전파한것으로관찰된범죄자는러시아와관련된공격자인
CyberBerkut와 @pravsector가있습니다.
동기별 위협 활동
규정 준수를 넘어 : 사이버위협과의료 4
데이터 도용
어느산업부문에서든, 위협범죄자는원하는데이터또는액세스 권한을입수하기위해에코시스템의가장보안이취약한지점으로 이끌리기마련입니다. 그런점에서사이버범죄자들은 PII와
PHI를입수하기위해보험회사외에, 보안이취약한의료서비스
제공자에게로많이끌릴것입니다. 사이버스파이범죄자는이 데이터를첩보수집용으로이용하여유력인사나, 중요정보에 액세스할수있는사람을최종목표로삼을수도있습니다. 또한 치료법, 의료기기, 생명공학, 기타해당산업부문의하위분야와 관련해연구개발에참여하는기관은경제스파이활동의대상이되는 중요한지적재산을보유하고있습니다. 특히, 중국이전략적으로
추진하고있는 “중국제조 2025” 계획에는의료기술과기기의
국산화를촉진한다는내용이포함되어있는데, 이는이러한기술의 IP 소유자및제작자를대상으로한위협활동의동기가될수있습니다. 사이버범죄위협
FireEye Intelligence는매우민감한개인신원확인정보(PII),
PHI 및금융데이터를대량으로침해하여막대한피해를입히는
금전적동기의사이버위협활동이잦은위협으로나타난다고 진단합니다(높은신뢰도수준).
의료기관과서비스제공자로부터빼낸 PII 및 PHI를암시장에서 매매하는범죄자들은매우흔하며, 이데이터가신원도용과금융 사기부터맞춤형피싱미끼를만드는것까지다양하게활용될수 있다는점에서앞으로도그럴것임이거의확실합니다.
• FireEye Threat Intelligence는 2018년 10월 1일부터 2019년 3월 31일까지여러건의의료관련데이터베이스가
암시장포럼에서대부분 2,000달러미만의가격으로판매되는
것을관찰했습니다. 특히판매자의설명에따르면이같은 데이터베이스를광고하는시점은실제데이터침해가발생한시점과 일반적으로연관성이없다고합니다. 관찰된광고중많은수는지난 몇달또는몇년사이에침해된데이터베이스에대한것이었습니다.
가격
2019년 3월 19일, 범죄자 InfoMerchant – 이름이알려지지 않은 “의료카드” 회사와관련한확인되지않은양의데이터, PII 및 의료정보포함.
2019년 2월 21일, 범죄자 NetFlow – 미국의료기관과관련한 4.31GB의데이터, 운전면허, 의료보험, 우편번호등의환자 데이터포함.
2019년 2월 12일, 범죄자 specfvol – 미국의료기관과 관련한 50,000건의기록, 의료기록, PII, 의료보험정보포함.
2019년 2월 6일, 범죄자 the.joker aka Achilles –
호주의료기관과관련한 128,764건의기록, 신용카드데이터및
제한적인 PII 포함.
2019년 2월 2일, 범죄자 fallensky519 – 인도의료기관웹 사이트와관련한 6,800,000건의기록, 환자정보및 PII, 의사 정보및 PII, 인증정보포함.
2019년 1월 28일, 범죄자 x999x – 캐나다의료웹사이트와 관련한확인되지않은양의기록, 도메인관리자에대한액세스정보, 네트워크에대한액세스정보, 서버이름, IP 주소, 플랫폼정보포함.
2019년 1월 22일, 범죄자 emoto - 미국의료기관과관련한 58,000건의기록, PII 포함.
2019년 1월 16일. 범죄자 ping 개인신원확인정보(PII)가 포함된 100,000건의기록광고. 광고에따르면이범죄자는 270여 개의미국병원이이용하는서버에서데이터를입수했다고함.
2018년 12월 15일, 범죄자 emoto - 미국의료기관과관련한 19,000건의기록, 금융데이터, 이메일주소, 직원에대한정보 포함.
2018년 12월 4일, 범죄자 the.joker aka Achilles – 호주 의료기관과관련한 11,700건의기록, 직원정보포함.
2018년 11월 15일, 범죄자 Lavanda – 미국의과대학과관련한 20,000건의기록, 직원데이터및 PII 포함.
2018년 11월 4일, 범죄자 Merky – 영국의료기관과관련한 180,000~200,000건의기록, PII 포함.
해당없음
$2,000
$500
$1,500
$1,700
$5,500
$480
$500
$300
$500
해당없음
$200
사이버범죄자들은의료기관에서빼낸데이터를직접판매하는것은물론, 이들기관에대한불법액세스정보를암시장에서판매하는경우도많습니다. 다른 범죄자들은이액세스정보를민감한정보를빼내거나, 침해한네트워크의다른장치를감염시키거나, 침해한네트워크의연결및정보를사용함으로써표적 조직과다른기관간의신뢰관계를이용하여다른네트워크를침해하는등의사후악용활동에이용할수있습니다.
• TEMP.Demon은최소 2018년 7월부터침투작전을펼치며의료부문을비롯한여러산업분야에피해를입히고있습니다. 이들은공개적으로제공되는
툴을사용하여피해자의환경에침투하고이동합니다.
• 2019년 2월 6일, 유명러시아어포럼에서 “Jendely”는미국의료기관에대한액세스정보를광고했습니다. 광고에따르면이범죄자는 3,000개의 호스트로이루어진네트워크에대한도메인관리자의액세스정보를입수했습니다. 이액세스정보는 9,000~20,000달러의가격으로경매에
붙여졌습니다. 2018년 11월, “Jendely”는 600개이상의호스트로이루어진여러미국회사의네트워크에대한액세스를 15,000달러의가격으로 판매한다고광고했습니다.
초기에 “thedarkoverlord“의활동은기록에대한액세스정보를판매하고갈취를시도하는등주로의료부문을표적으로한공격과연관되어있었습니다.
thedarkoverlord는나중에다른부문으로표적을다각화했지만의료부문은 2017년그룹의몇몇알려진구성원이체포될때까지여전히주요
표적이었습니다. 2018년말에 thedarkoverlord의암시장활동이제한적으로재개되었고, 2019년에는극히적은활동만관찰되었기때문에현재
thedarkoverlord가어느정도로활동하고있는지는명확하지않습니다.
2016년 “thedarkoverlord”가판매한의료데이터베이스(지역별)
의료서비스제공자의위치 총기록수 가격
애틀랜타 396,459 300비트코인
중부/중서부 207,572 170비트코인
미주리주파밍턴 47,864 60비트코인
뉴욕브롱크스 34,621 25비트코인
미국 9,278,352 300비트코인
일리노이주페어뷰 23,565 35비트코인
규정 준수를 넘어 : 사이버위협과의료 6
규정준수를넘어: 사이버위협과의료 6
사이버스파이 위협
의료연구에지속적으로관심을보이는중국 APT
FireEye는여러중국 APT 그룹이의료연구데이터를입수하는데매우집중함을보여주는정황을계속목격하고있습니다. 특히관심을보이는분야는암관련
연구로, 암과사망률의증가에대한중국의우려가커지고있고그에수반되는국민건강관리비용에대한우려가반영된것으로보입니다. 공개된소식통에따르면 암사망률이최근수십년간급격히증가해암이사망원인중가장큰것으로나타났습니다.
2020년까지중국이보편적의료서비스를계속추구함에따라비용및국내산업을통제하는것이중국의정치적안정유지전략에영향을미칠것이분명합니다.
APT 활동의또하나가능한동기는금전적인것입니다. 중국은세계에서가장빠르게성장하고있는제약시장중하나이며, 국내기업, 특히종양치료나관련
서비스를제공하는기업들에게수익성있는기회를창출하고있습니다. 의학연구와그데이터를표적함으로써중국기업들이서양의경쟁업체보다더빨리신약을 시장에내놓을수도있게됩니다.
• 2019년 4월초, 중국의사이버스파이범죄자들은 EVILNUGGET 악성코드를통해암연구에집중하는미국의료센터를표적으로삼았습니다. 유인문서
중하나는표적조직이주최하는컨퍼런스를언급하고있습니다. 꾸준히목격되는의료산업에영향을미치는동향과일맥상통하게, 이조직은과거에여러중국 위협범죄자들의표적이되었습니다.
» 2018년 1년전, 중국과연관된 APT41은 CROSSWALK 악성코드를사용하여이기관의개인들에게스피어피싱공격을실시했습니다.
»» 예전에는생체의학, 제약및의료기관에집중했으며현재도지속적으로활동하고있는중국그룹인 APT22도이전에이동일한조직을표적으로 삼았습니다.
•» 수년간의료관련기업에대한 APT41의관심은수많은침해사례로확대되었습니다.
» 2014년 7월부터 2016년 5월사이에 APT41은대기업의료기기자회사를표적으로공격을실시했습니다. APT41은처음에는모회사를대상으로 했지만, 피해호스트의 30%는의료기기제조전문자회사와관련이있었습니다. 작전에사용된암호문자열과스푸핑된도메인은모회사가아닌 자회사를대상으로하는집중적인작전임을나타냅니다. APT41이관심을보인표적호스트의특성이정보기술담당직원과의료기기자회사가사용하는 소프트웨어라는사실을바탕으로몇가지징후를파악했습니다. 먼저 GEARSHIFT라는키로거가이의료기기회사에배포되었습니다. 또한피해자의 디지털인증서가유출되어이산업부문을대상으로한다른작전에사용된악성코드에서명하는데사용되었습니다. 그자세한내용은아래와같습니다.
»» 이러한몇몇작전과동시에, 인수를추진중인생명공학회사가 2015년 5월 APT41의표적이되었습니다. 인사데이터와세금정보, 인수관련문서 등기업운영에대한매우민감한정보가표적이되었습니다. 특히개발된의약품의임상시험데이터, 학술데이터, 연구개발자금지원관련문서도 유출됐습니다. 시간대, 동일한 GEARSHIFT 샘플사용, 앞서언급한의료기기회사의디지털인증서는이두캠페인이동일한범인에의해동시에 진행되었음을시사합니다.
• 2017년말, 중국과관련된 APT10은스피어피싱캠페인의일환으로, 이업계와관련이있는것으로보이는일본기업을대상으로의료를주제로한문서
3건을배포했습니다. 그문서들중두가지는암연구컨퍼런스와관련된것이었습니다.
•» 적어도 2013년부터 APT18(Wekby)은생명공학및제약관련조직과암전문연구조직을표적으로공격을실시했습니다. FireEye가한의료제조사에서
조사한사건에서 APT18은탐지되기전까지최소 60일동안조직의네트워크에서활동한것으로파악되었습니다. 이기간동안이범죄자들은약 14개의
사용자계정을사용하거나액세스했고, 450개이상의시스템에액세스하거나백도어를설치했습니다. 또한이제조사의네트워크에서몇기가바이트의의료용 영상장비파일을수집하고아카이브파일로압축하여정보를빼내려했습니다.
•» 우리가목격했던다른사례들과마찬가지로, 사이버공간을통한의료데이터및연구데이터도용은주요혁신기술을획득하기위한보다광범위한중국의
전략을구성하는요소중하나일것입니다. 2019년 4월, 중국정부를대신해의학연구데이터를훔쳐낼우려가있다는판단에따라 MD Anderson
Cancer Research의연구원여러명이해임됐습니다.
FireEye가의료부문을표적으로하는중국사이버스파이범죄자들사이에서관찰한한가지테마는바로, 2015년미국조직에대한몇건의유명한침해
사건으로대표되는대규모 PII 및 PHI의도용입니다. 2018년 SingHealth 침해사건에서알수있듯이, 대량데이터도용은중국사이버스파이범죄자들이
특정개인집단을표적으로이용하는전술로판단됩니다.
• 2018년 Singaporean Health 침해사건에서설명된악성코드와 TTP는세간에 “Mofang”으로알려진중국과연관된사이버스파이활동과매우
유사하게일치합니다. FireEye Intelligence는이전에 QUASIFOUR 및 DUOBEAN이라는이름으로추적중인 Mofang 캠페인이이악성코드를 동남아의정부, 미디어, 운송, 건설및통신부문을대상으로배포한다고보고한바있습니다.
• 중국과관련된한사이버스파이범죄자는미국인에대한대규모기밀데이터를수집하기위한것으로여겨지는여러건의침해사례에연루되어있다고
판단되는데, 이사람은항공부문과더불어 PII를보유하고있는의료기관과미국공무원의민감한데이터를표적으로활동을수행했습니다. FireEye는이 범죄자가표적인물을식별하고추적하며활용하기위해데이터를수집한다고보고있습니다. 정부데이터만으로도중국에서활동하는비밀요원을식별하거나, 미국에서정보원과이중간첩을모집하거나, 기밀취급권한을가진미국인의가족을찾아내괴롭히거나위협하는데사용될수있습니다.
FireEye Intelligence는중국과관련된그룹외에도다음과같은다양한사이버스파이와국가차원의범죄자가의료부문을표적으로한공격에연루된것으로
관찰했습니다.
• 러시아와관련된 APT28은국제스포츠경기및운동선수약물테스트와관련된글로벌스포츠규제기관및기타기관을표적으로한공격에연루되었습니다.
• 2017년 8월, APT28 등러시아관련스파이범죄자들과연계되어있는것으로판단되는(보통신뢰도수준) CyberBerkut라는핵티비스트그룹은
미국당국, 우크라이나당국, 계약업체, 의학중심의비정부기구(NGO)가우크라이나에서생물학무기실험을공모하고있다는근거없는주장의게시물을 작성했습니다. 이와유사한주장은 2016년 8월, 오하이오에위치한한클리닉에서유출된문서를통해미국군사기관들이우크라이나에서생물학무기를 실험하고있다는사실이증명되었다고주장한러시아연계의가짜핵티비스트페르소나인 @pravseector에의해제기된바있습니다.
• APT29는한건이상의캠페인에서의료인과의료정책관련인에대한피싱사기를저질렀습니다.
• 베트남과관련된 APT32는영국의한의료기관에서확인된유인문서를사용했습니다.
규정 준수를 넘어 : 사이버위협과의료 8
파괴적인 위협
랜섬웨어또는갈취캠페인은환자나건강정보에대한접근을제한하거나중환자진료에지장을줄수있다는점에서범죄자의성공률과이득의상승으로이어질
가능성이있기때문에이산업부문을공격하는데특히유용한것으로인식될수있습니다. WannaCry 및 EternalPetya 공격에서보여졌던것처럼,
파괴적공격또는큰피해를입히는와해성공격을수행할경우미래의활동은상당한피해부터대재앙수준의피해까지초래할수있습니다.
랜섬웨어랜섬웨어감염은많은다른산업부문의기업보다 의료기관에더큰위험을야기합니다. 거의 실시간으로일관되게환자데이터에액세스할 필요가있고조직이중요한파일, 시스템및장치에 액세스하지못할경우환자에게해를끼칠수있기 때문입니다. 랜섬웨어공격자들도이처럼중요도가 높아진사실을이미알겠지만, 특히우발적인인명 피해로이어질경우사법당국의면밀한수사로 확대될수있다는점을우려해일부범죄자들 사이에서는병원에대한랜섬웨어공격을꺼리는 현상이나타나고있습니다. 하지만사후침해표적 랜섬웨어캠페인의증가로, 일부범죄자들은의료 사업자에게지불수단과의지가있다고보고, 더 많은위험을감수하고서이들을상대로작전을 수행할수도있습니다.
• 2018년 11월, FireEye는 GandCrab과 관련된미국의한병원에서발생한침해 사고에대응했습니다. GandCrab은 최근해당범죄자들이 20억달러이상을 벌었다고주장한후작전을중단한다고발표한 랜섬웨어군입니다.
• 텍사스에위치한 Altus Brown
Hospital(ABH)은 2018년 11월에병원 시스템을감염시키고환자정보를포함한병원
기록등을암호화한 Dharma 랜섬웨어공격에
당한사실을시인했습니다.
• 2018년 9월, FireEye는미국의한 의료업체에서워크스테이션 93개가영향을
받은 Samas 랜섬웨어사건에대응했습니다.
• 2018년 1월초, 미국의한병원은백업본이 있음에도불구하고 IT 시스템의잠금을 해제하기위해 4비트코인(당시시세로약
55,000달러)의몸값을지불했습니다.
병원직원들이랜섬웨어를빠르게탐지했지만, 병원이메일시스템과전자의료기록, 내부 운영체제로감염이확산되는것을막기엔너무 늦었습니다.
• 다른여러의료기관에서도최근몇년사이 랜섬웨어캠페인의피해를입었다는신고가 접수됐습니다. 이에대한대응은몸값을 지불하거나데이터손실및관련비용을 수용하는것부터, 신속한문제해결을가능하게 하는효과적인보안시스템구현으로피해를 최소화하는것까지다양했습니다.
• 어떤경우에는위협범죄자들이의도적으로의료 부문을표적으로하는것을회피하기도합니다.
2019년한지하포럼에게시된 bitpaymer
랜섬웨어서비스를광고하는게시물에서범죄자 dihlofoss는 “우리는병원, 교육기관및정부 기관을표적으로하지않는다”고구체적으로 언급했습니다.
랜섬웨어감염으로인한피해를줄이려면조직, 특히병원처럼고가용성이요구되는조직은강력한 백업정책시행과백업구현뿐아니라이중화되고 적절하게세그먼트화되어격리된네트워크및 시스템을갖춰야합니다. 이경우네트워크의한 세그먼트또는하나의장치세트가손상되더라도 가용성을유지할수있습니다. 다른시스템및 데이터가보호상태를유지하고문제를해결하는 동안적어도제한적인용량으로는작동할수있기 때문입니다.
크립토마이닝멀웨어
2017년말, 크립토마이닝작전으로인해 여러의료기관들이피해를입었다는사실도 확인했습니다. 이는최소한지난몇년동안 사이버범죄자들사이에서크립토마이닝 악성코드가인기를끈것과일치합니다. 하지만 의료기관의경우, 처리및네트워크부하증가, 시스템안정성저하, 감염된장치의수명단축 등을통해크립토마이닝악성코드가중요한 시스템에미치는영향때문에이러한유형의 활동으로인한피해가가중될수있습니다. 국가차원의파괴적인공격
충돌이발생하거나긴장이고조된시기에는 랜섬웨어나와이퍼악성코드를사용하여특정 지역이나국가의의료기능을방해하거나 파괴함으로써이익을얻을수있으며, 특히공격 스폰서들에게그럴듯한부인근거를부여하기 위해본인의소행이라고주장하는가짜범죄자나 해커와결합할경우더욱이득이됩니다.
• 많은의료기관들이 2017년에널리퍼진 EternalPetya 와이퍼및 WannaCry 랜섬웨어캠페인으로인해피해를입은 것으로알려져, 이러한유형의캠페인에의해 발생할수있는피해를단적으로보여줍니다.
의료사이버물리시스템(MCPS)을표적 특히의료부문내에서파괴적인위협을위한 표적에는의료사이버물리시스템또는생체의학 장치가포함됩니다. 심박조율기및인슐린 펌프와같은이식장치를비롯하여, 이러한 장치는의사가원격으로관리하고침습적시술의 필요성을줄이기위해네트워크에점점더많이 연결되는추세입니다. 이러한기능은이점을 제공하지만, 해당장치를대상으로한악의적인 사이버활동으로인해피해를받을위험성도 내포하고있습니다.
FireEye Intelligence는현장에서개인의료 기기에대한어떠한악의적인활동도포착하지 못했습니다. 하지만이러한시스템에영향을 미치는위협및취약점에대한연구자료가 많습니다.
• ICS-CERT는 2016년부터 Philips, Roche, Medtronic, Smiths Medical, General Electric, Abbot Laboratories와같은주요공급업체의 제품에대한수천건의의료권고사항을 발표했습니다. 의료취약점공개가급증하고 있음에도불구하고사이버물리네트워크 보호를위한규제와지침은여전히개발초기 단계에머물러있습니다.
• MCPS의취약점은적어도 2010년부터 공개되었지만, 지난 2년동안주요 공급업체의제품과관련한발표가여러건 공개되고있습니다. 예를들어 2017년과 2018년, Abbott Laboratories와 St. Jude Merlin, 그리고 Medtronic은 심박조율기, 프로그래머, 환자모니터에 영향을미치는일련의취약점을해결해야하는 과제에직면했습니다.
네트워킹기능과원격액세스의존재는 의도적인표적공격을통해또는본의아니게장치 액세스중장치소프트웨어와활동간의기대하지 않은상호작용을통해, 개인이나그룹을해치는데 이용될것으로추측됩니다.
• 개인이생존을위해의존하는중요한의료
장치가점점더네트워크화되고원격으로 액세스하게되면서, 리소스를충분히확보한 악의적인범죄자가장치사용자를다치게하거나 아프게하거나죽이도록고안된고도의표적 캠페인을수행할가능성도높아지고있습니다. 이러한공격은이론적으로원격으로수행할수 있지만, 장치또는관련하드웨어에근접해야 할수도있으며, 사이버위협활동의대폭적인 증가를수반합니다.
» 또한감시, 호기심또는
테스트를목적으로하는범죄자는실수로 장치를오작동시키거나작동을중지하는 방식으로상호작용함으로써의도적인 공격과유사한결과를초래할수있습니다.
• 재고추적 “스마트” 스토리지, 원격환자 모니터링및추적시스템, 원격데이터액세스
장치와같은의료중심의사물인터넷(IoT)
장치도마찬가지로
의료기관에대한이론적공격영역을 증가시킵니다. 이러한장치의침해는잘못된 환자경보를생성하여혼란을일으키고, 재고 데이터를변경하여도용을용이하게하며, 네트워크를통해내부적으로이동하여보안되지 않은장치를침해한후추가적인침해공격을 수행하는등의다양한목적으로이용될수 있습니다.
• 의료기기개발자는전력소비량, 신뢰성, 비용등설계상여러요인의균형을맞춰야 합니다. 하지만의료서비스제공자를위한 데이터액세스를늘리고의사가환자에게 이식한장치에접근하는데있어서장벽을 줄이기위해설계상일부장치의보안에허점이 있다고이전에평가한바있습니다. 그리고 다른종류의의료기기에도유사한보안결함이 있다고생각합니다.
현재 MCPS를위한표준네트워크아키텍처는
없습니다. 그러나 NIST(National Institute of Standards and Technology) 특수
간행물(SP) 1800-8B에서는
이러한네트워크의구조를이해하는데유용한 기준선을제공합니다. 이접근방식에따르면, 세그먼트화는의료네트워크전반에서보안 제어를구현하는데핵심적인역할을합니다.
규정 준수를 넘어 : 사이버위협과의료 10
맺음말
의료기관은다양한사이버위협범죄자의의도와행동을파악하고대응해야합니다. 의료기관이보유하고있는풍부한데이터때문에, 의료부문에서 발생하는보안침해와유출은소비자들에게큰피해를입힐수있습니다. 이들기관들중일부에서진행중인중요한연구는자국산업발전을도모하려는 국가정부들에게꾸준히매력적인표적이되고있습니다. 앞으로생체의학기기의사용이증가함에따라, 특히더큰위험을감수하려는범죄자들에게 이러한기기는파괴적인사이버공격의매력적인표적이될가능성이있습니다. 그에따라공격영역에대한경쟁도치열해질것입니다.
공격 지능화 영향
침해 데이터도용 성능저하 방해 파괴
표적
낮음
인터넷에연결된 장치에로그인(예:
Shodan 사용)
위협범죄자가의료 네트워크에대한 RDP
액세스정보판매
보통 FIN7 캠페인 의료기기작동중단
높음
APT28, APT29, APT10 및기타국가
차원의캠페인
비표적
낮음 크립토마이닝악성코드 Wanna Cry
(2017)
보통 EternalPetya
(2017)
높음
부록그래픽: 의료사이버보안사고매트릭스
FireEye 소개
FireEye는인텔리전스기반의보안회사입니다. FireEye는혁신적인 보안기술, 국가수준의위협인텔리전스및세계적으로유명한 Mandiant® 컨설팅을결합한단일플랫폼을제공하여고객보안 운영의완벽한확장을지원합니다. 이를통해 FireEye는사이버공격에 대비하고이를방어및대응하고자노력하는조직의사이버보안부담을 줄이고간소화합니다.
FireEye Korea
서울특별시강남구테헤란로 534 글라스타워 20층/ 02.2092.6580/
korea.info@fireeye.com/ www.fireeye.kr
©2019 FireEye, Inc. 저작권소유. FireEye는 FireEye, Inc.의등록상표입니다. 다른모든브랜드, 제품또는서비스명 칭은각소유자의상표또는서비스마크입니다. GRAF-823
