[메디파나뉴스 = 최성훈 기자] 개인 의료 데이터를 위협하는 사이버보안 문제가 대두되면서 이에 대한 경각심이 높아지고 있다.
의료 데이터는 사기 청구, 협박, 리베이트를 위한 허위 세금 신고서 제출, 처방약 및 의료 기기 주문 등을 통해 쉽게 수익을 창출할 수 있기 때문이다.
이에 정부와 업계는 최근 의료기기 사이버보안 보호 체계 강화에 나서는 한편, 의료기관들의 경각심도 함께 높아져야 한다고 입을 모은다.
이 가운데 식품의약품안전처는 안전한 의료기기 사용을 도모하기 위한 ‘의료기기 사이버보안 가이드라인’ 3종을 지난 27일 발간·배포했다.
가이드라인에서는 유무선 통신 기능이 있는 의료기기의 사이버보안 방안을 제시했다.
가이드라인 3종의 주요 내용은 ▲의료기기 사이버보안 보호 체계를 갖춘 제품의 개발과 사용 단계의 환자 보호 ▲사이버 보안이 적용되지 않고 사용 중인 의료기기를 위한 기업 및 의료기관의 역할 ▲의료기기 사이버보안 안전관리를 위한 소프트웨어 자재 명세서(SBOM) 수집과 정보 제공 방법 등이다.
의료 AI 소프트웨어 등 디지털의료기기 허가건수가 늘어나면서 사이버보안에 대한 위협도 증가하고 있기 때문으로 풀이된다.
앞서 미국 식품의약국(FDA)도 최근 신규 소프트웨어 의료기기 승인건수 증가에 따라 사이버보안 규정을 강화하는 지침을 지난 10월 1일 마련한 바 있다.
미국 내 의료기관에 대한 사이버 공격이 늘어난 점도 또 다른 이유로 제시된다. 실제 미국 비영리 환자안전단체인 ECRI에 따르면 최근 5년간 의료기기 사이버보안 경고 사례는 173건에 달했다.
이에 지침에서는 FDA 승인 절차를 밟는 해당 신규 의료기기의 경우 사이버보안 솔루션을 갖추도록 명시했다.
또 신규 의료기기 승인을 신청하는 제조사는 해당 보안 문제를 모니터링한 뒤, 이를 해결하기 위한 구체적인 계획서도 제출해야 한다.
해당 의료기기가 해킹 등 사이버 공격에서 안전하다는 것을 입증할 프로세스도 갖춰야 한다. 시판 후 보안과 관련된 기기나 관련 시스템의 업데이트 및 패치도 제공해야 한다.
사이버보안 강화 방침에 따라 국내 의료기기 제조사들도 의료 데이터 보안 솔루션을 탑재하거나 출시 중에 있다.
일례로 의료 AI 전문기업 코어라인소프트는 자사 의료 AI 솔루션에 '가명화서버'를 도입했다.
가명화서버란 CT, MRI 등 장비의 모든 데이터를 저장하고 관리하는 동시에 환자의 신체표면 데이터를 복원할 수 없게 가명화 처리하는 프로그램을 말한다.
코어라인소프트가 개발한 가명화서버 이미지.
예컨대 흉부 CT 촬영을 한 환자는 체내 흉부만 촬영된다고 생각해 해당 영상으로 본인이 식별되지 않는다고 판단하지만, 복원기술을 활용하면 CT 영상을 이용해 흉부 표면까지 복원이 가능하다. 다시 말해 개인을 식별해 낼 수도 있다는 의미다.
따라서 가명화서버를 이용하게 되면 의료기기를 사용한 환자의 의료 데이터 전체를 한꺼번에 가명화할 수 있다는 설명이다.
코어라인소프트 관계자는 "데이터 하나하나를 수동으로 모자이크 처리, 가명화를 하려면 처리시간이 길고 복잡하다"면서 "가명화서버를 이용하면 지정 장비의 데이터를 한 번에 모두 가명화 처리 할 수 있어 인건비와 시간도 절약할 수 있다"고 말했다.
하이크비전은 AI 기반 모자이크 기능을 제공하는 수술실 CCTV 솔루션을 최근 출시했다.
회사는 지난 9월 25일 수술실 CCTV 설치 및 운영 의무화를 규정한 의료법 개정안이 시행됨에 따라 관련 보안 이슈가 급부상할 거란 이유에서 제품을 출시하게 됐다는 것.
이 솔루션은 AI를 통해서 CCTV 내 보이는 인물 얼굴이나 몸통에 모자이크 기능을 제공한다.
하이크비전 CCTV 솔루션의 모자이크 기능 예시.
또 출입 통제 제품과 연계해 수술실 및 데이터 관리실 출입을 관리, 보안을 향상시킬 수 있다는 장점도 있다.
하지만 개별 의료기관의 보안의식도 함께 높아져야 한다는게 업계의 시각이다. 의료기관 네트워크에 침투해 혼란을 야기할 수 있는 방법 또한 다양한 만큼, 관련 투자 또한 선행돼야 한다는 것.
실제 IBM 연구에 따르면 환자 병상 한 개당 평균 10~15개의 의료 디바이스가 연결된다. 그럼에도 의료기관은 일반적으로 여러 디바이스에 따른 포인트 보안 솔루션에 의존한다고 지적된다.
이는 서로 다른 시스템으로 인해 사이버 범죄자가 민감한 데이터에 접속하거나 랜섬웨어를 배포하기 전에 관련 공격 가능성을 식별하고 취약점을 해결하기가 어려워진다.
사이버 보호 솔루션 기업 아크로니스는 "그럼에도 의료기관 절반 이상(53%)은 예산의 10% 미만을 해당 기술에 투자하고 있다"며 "예산이 충분하지 않으면 보안 침해에 따른 모니터링, 예방, 복구할 수 있는 인력이 부족해진다"고 말했다.
![[현장] 젊은 에너지로 활기 찾은 '대한약학회 춘계국제학술대회'](/upload/data/photo_direct/202404/20240419124353_ED11C.jpg)
독자의견
작성자 비밀번호
0/200