[헬스코리아뉴스 / 박정식 기자] “최근 의료기기가 IT기술과의 융합으로 네트워크 연결성이 확대되면서 첨단기기로 진화하고 있다. 의료기기는 사람의 건강·생명에 직접적인 영향을 주기 때문에 무엇보다 보안성 확보가 중요하다.”

한국전자통신연구원 권혁찬, 김정녀 책임연구원은 정보통신기획평가원(ITFIND)이 28일 발간한 주간기술동향 1911호를 통해 “최근 환자 생명을 위협하는 의료기기 해킹 이슈가 전세계적인 사회문제로 등장하고 있다”며 이같이 말했다.

미국 식품의약국(FDA)은 지난 6월 메드트로닉(Medtronic) 사(社)의 미니메드 인슐린 펌프에 대해 리콜 명령을 내렸다. 당시 FDA는 경고문을 통해 허가받지 않은 사람이 미니메드 인슐린 펌프에 무선 연결 및 펌프설정 변경이 가능해 인슐린 과다 공급 또는 중단될 수 있어 생명의 위협이 발생할 수 있다고 공지했다.

앞서 FDA는 지난해 세인트쥬드메디컬(St. Jude Medical) 사(社)의 심장박동기 및 전송중계기기의 보안 취약점을 발표하고 46만여대의 심장박동기를 리콜 조치한 바 있다. 공격자가 보안 취약점을 악용해 심장박동기에 무단으로 접속, 설정을 변경하거나 기기의 성능을 방해할 수 있을 뿐만 아니라 배터리를 소모시켜 심장박동기의 성능을 저하시킬 수 있다는 것이 그 이유다.

영국은 2017년 워너크라이(WannaCry) 랜섬웨어로 다수의 의료기기가 감염돼 81개 의료기관에서 2만여건의 수술 또는 진단 등이 취소된 사례가 있다.

의료기기에 대한 사이버 테러가 늘어나고 있지만 국내의 경우 보안에 대한 기술적 대책은 여전히 미비한 것으로 나타났다.

이와 관련 권혁찬 책임연구원은 “현재 병원에 설치된 다수의 의료기기는 구형 운영체제 및 소프트웨어가 탑재된 오래된 장비”라며 “보안이 고려되지 않고 설계됐다”고 설명했다.

국내 병원에 설치된 의료기기 점유율 대부분을 수입사가 차지하고 있는 것도 문제점으로 지적됐다. 의료기기 보안 패치나 업데이트가 제공되지 않는 경우가 많아 보안대책 마련이 쉽지 않기 때문이다.

권 연구원은 “원격의료, 정밀의료 등 의료 서비스가 확대되면 의료기기는 점차 첨단화 될 것”이라며 “의료기기 보안은 설계단계부터 보안을 내재화해 개발하는 전략과 시판 후 위협 대응까지 할 수 있는 전사적인 접근이 필요하다”고 조언했다.

의료기기에 대한 보안 위협이 현실화되고 있는 가운데 국내의 경우 첨단의료기기를 제조하는 업체가 사이버 보안에 대비하고 참고할 수 있도록 가이드라인을 갖추고 있다.

식품의약품안전평가원은 2017년 의료기기 사이버 공격을 막기 위해 ‘사이보안 허가 및 심사 가이드라인-민원 안내서’를 만들었다. 2018년에는 과학기술정보통신부와 한국인터넷진흥원(KISA), IoT 보안 얼라이언스 공동으로 ‘스마트의료 사이버보안 가이드’를 작성해 배포했다.

다만 이 가이드라인들은 각각 의료기기 사이버 보안 위협에 대한 최소한의 권고사항과 스마트의료 분야에서 정보보호에 대한 기본적인 보안 권고사항 및 요구사항만을 다루고 있을 뿐 법적인 효력을 갖거나 반드시 준수해야 하는 것은 아니다.

이와 관련 김정녀 책임연구원은 “식품의약품안전평가원 등에서 제시하는 문서는 가이드를 제시하는 수준이지만 향후 의료기기의 허가·심사에 반영될 수 있도록 규제화될 가능성이 높을 것으로 예상된다”고 말했다.

또 “앞으로 더 많은 보안 위협과 이슈가 나타날 것으로 예상된다”며 “의료기기 보안 분야의 신기술을 조기 확보해 의료융합보안 분야의 산업 경쟁력을 강화시켜 국민의 건강과 생명을 보호하는 전략이 필요하다”고 덧붙였다.

박정식 기자 다른기사 보기