우리는 수많은 기기 속에서 살고 있다. MP3, 전화, 인터넷 커뮤니티 이 세 가지를 할 수 있었던 각각의 기기는 하나로 합쳐져 아이폰이 되었다. 또한, 편리한 주거공간을 위해 네트워크 기능이 담긴 스마트 생활용품이 쏟아져 나왔다. 이처럼 기기는 우리의 일상에 더 높은 편의성을 제공하고 삶의 질을 높이는 데 크게 한몫한다. 특히 최근에는 건강에 관심이 높아지면서 스마트 헬스기기, 스마트 마사지 기기 등 사용자가 스스로 건강을 관리할 수 있는 다양한 제품이 출시되고 있다. 최근 나오는 스마트 헬스 기기들은 사용자의 생체 정보에 맞춰 운동프로그램을 제공하기도 하고, 뇌파와 맥파를 측정하여 스트레스를 분석한 후 정신 건강을 돕기도 한다.^[1] 그렇다면 우리들의 건강을 전문적으로 다루고 있는 병원은 어떠할까. 우리의 생활 공간이 스마트해진 것처럼 병원도 무선 의료 기기의 증가로 더 편리해지고 효율성이 높은 의료 서비스를 제공하기 시작했다.

스마트 침대와 센서를 통해 환자의 정보를 실시간으로 모니터링하여 이상 여부를 감지하고^[2], 정해진 시간마다 약물을 투입하여야 하는 환자에게 스마트 펌프 기기를 연결하여 편리하게 약물을 투여할 수 있다.^[3] 또한, 맥박 조정기, 제세동기와 같이 신체 내부적으로 이식된 기기도 환자에게 문제가 있는 즉시 모니터링을 통해 감지해낼 수 있다.^[4] 이러한 시스템을 다양한 위치에서 구현한 결과, 병원에서 간호사가 한 환자에게 가기 위해 걸리는 7~8분 걸리던 시간이 1분 미만으로 단축되고. 병원 전체 사망률이 20%가 감소하였다.^[5] 이처럼 오늘 날 의료 기술이 향상되었다는 점에서 기기의 발전이 그 이유 중 하나인 것은 의심의 여지가 없다. 하지만 기기가 발전하고, 의료기기가 스마트해지면서 취약한 기기와 같은 보안적인 문제로 위험도 함께 증가했다. 

특히나, 병원에서 사용되는 기기의 보안은 중요하다. 그렇다면 왜 의료 기기의 보안이 중요할까. 병원만큼 사람 생명을 직접 다루는 곳도 없다. 병원은 사람을 가장 많이 살리는 곳이면서 가장 많이 죽는 곳이다. 환자는 약한 사람들이기 때문에 약 하나를 쓰더라도 제각각 위험부담이 존재하고, 바로 생명과도 연결될 수 있어 환자마다 적절한 약과 약의 양의 사용은 중요하다. 특히, 요즘에는 병원에서 일정 시간마다 환자에게 약물을 투여해야 할 때 스마트 기기를 통해 일정한 양과 정확한 시간에 투여하는 곳이 늘어나고 있다.^[6] 하지만 이런 약물 투입 기기를 제3자가 조작한다면 어떻게 될 것 같은가. 또한, 환자의 상태를 실시간으로 확인하며 의사의 처방이 필요할 때 기기의 고장으로 제때 치료를 받지 못한다면 어떻게 될 것 같은가. 환자는 몸이 제 기능을 하지 못하여 적은 약물이 일반인들보다 더 치명적인 사람들이고, 언제 어떻게 될지 모르는 시한폭탄과도 같다. 따라서 이러한 사람들에게 연결된 병원에서 사용되는 모든 기기는 환자의 생명과 직결되어 있다는 이야기다.

우리는 영화에서 킬러가 총을 가지고 임무를 수행하는 것을 자주 봤다. 만약, 킬러가 가지고 있는 또 다른 능력이 해킹이라면 굳이 찾아가서 의사, 간호사 코스프레를 하며 죽일 필요가 있겠는가. CCTV를 피하는 것보다 네트워크를 통해 잠입하여 임무를 수행하는 것이 더 위험부담이 적다고 생각한다. 아니면, 병원 컴퓨터에 랜섬웨어를 심어 데이터가 아닌 환자의 생명을 담보로 금전적 요구를 한다면 어떻게 하겠는가. 너무 허무맹랑하고 가능성이 없다고 생각할 수도 있다. 하지만 이런 일은 실제로 있을 수 있는 일이다. 왜냐면 이제부터 실제 있었던 사례에 대해 이야기하며 가능할 일임을 이야기할 것이기 때문이다. 

랜섬웨어에 걸린 병원: 올해 5월, 영국에서는 런던을 비롯해 많은 지역의 국민보건서비스(NHS) 산하에 있는 병원 40여 개 곳이 배후가 누군지 모를 wannacry 랜섬웨어 공격을 받아 시스템이 중단되어 진료에 차질을 빚었다.^[7] 이 때문에 병원에 있는 간호사와 의사는 컴퓨터가 아닌 종이와 펜으로 돌아가 진료목록을 작성하고^[8], 자신의 휴대폰을 사용하였다. 어느 한 곳에서는 의사 수술 진행도 어려워 300~600달러를 지불하여 사태를 막았으며^[9], 피해 지역 사람들은 응급 상황에서만 의료 서비스를 받으라고 권고하기도 했다.^[10] 피해의 원인은 이미 서비스가 종료된 운영체제 Windows XP의 사용이 가장 큰 원인으로 보고 있다.^[11][12]

이처럼 요즘 날뛰고 있는 악성코드, 랜섬웨어는 병원도 피해 가지 않는다. 특히 최근 악성코드는 wannacry처럼 제로데이를 이용하기도 하고, 인터넷만 연결되어 있어도 감염될 수 있어 충분히 주의가 필요하다. 더욱이, 병원은 절박한 사람들이 모이는 곳이기 때문에 앞으로 랜섬웨어의 위험성도 많이 증가할 것으로 보고 있다.^[13] 문제는 병원에서 사용되는 프로그램이 특정 운영체제에서만 실행되어 함부로 취약한 운영체제를 바꾸기 어려울 수도 있다는 것이다. 실제로 필자가 다니는 치과에서도 사용하는 운영체제는 windows XP다. 따라서 오래된 운영체제나 혹은 업데이트를 오래도록 하지 않은 운영체제는 최신 업데이트를 하거나 보안에 좀 더 신경을 써야 더 큰 피해를 막을 수 있을 것이다.

Barnaby Jack의 의료장비 해킹: 사실 의료기기의 해킹은 고 Barnaby Jack이 가장 먼저 시연하여 새로운 위협으로 부상했다. Barnaby Jack은 2013년 8월 블랙햇에서 취약한 의료기기가 사이버 공격에 얼마나 취약한지에 대한 발표를 하려 했지만^[14], 갑작스러운 그의 죽음으로 그는 끝내 발표를 하지 못했다.^[15] 그는 블랙햇 발표에 앞서 먼저 여러 의료기기 중 인슐린 펌프의 배터리를 교체하여 인슐린 과다 복용을 유도한 시연을 하려 했었다. 하지만 인슐린 펌프 의료기기 제조업체가 자신들의 기기가 알려지는 것을 꺼려 시연은 무산되었다고 한다.^[16] 이후, Barnaby Jack은 블랙햇에서 맥박 조정기를 해킹하여 30피트에서 사람을 죽일 수 있다는 발표자료를 만들기도 했다. 이는 신체에 이식이 가능한 무선 이식 의료 기기의 보안에 초점을 맞추어 이런 장치가 어떤 식으로 통신하고 무슨 문제가 있는지에 대해 이야기하려 했던 것이다.^[17]

신체에 기기를 이식한다는 것은 한 사람의 생명과 밀접하게 연관된다. 앞서 얘기한 의료기기를 해킹하여 살인할 수 있다는 것이 허무맹랑한 얘기가 아니라는 것이다. 2006년 FDA가 무선 의료기기를 신체에 넣을 수 있다는 것을 승인하면서 의료장비 해킹에 관한 이야기는 조금씩 나오고 있었고^[18], 국토안보부 역시 이에 대해 우려의 목소리를 냈었다.^[19] 하지만 현재 의료기기 해킹으로 피해를 보았던 직접적인 사례가 없어 이에 대해 심각성을 애써 무시하고 있지 않나 생각한다. 반면, 일반인들이 사용하는 병원이 아니라 군에서 사용되는 병원 기기의 경우 DIACAP (Department of Defense Information Assurance Certification and Accreditation) 프로세스를 준수하기 위해 군사 네트워크에 연결된 의료 기기를 포함한 모든 장치에 대해 정보 보안 관점에서 평가되어 인증이 된 후 사용된다.^[20] 이러한 점을 봤을 때 일반인들이 이용하는 병원에서도 장비의 보안 수준을 검증하고 반입할 수 있는 절차가 필요하지 않나 생각된다.

지멘스, 의료 스캐너에 대한 낮은 보안기술: 2011년 국토안보부의 ICS-CERT는 지멘스의 의료용 분자 스캐너 취약점에 대해 경고했다.^[21] 이는 공격자가 원격에서 코드를 실행하여 시스템의 안전을 손상시키거나 손상시킬 수 있는 악용 사례를 만들 수도 있다고 하였다. 당시 발견된 취약점 중 하나는 스캐너가 연결된 Windows 웹 서버에서 인증되지 않은 사용자가 조작된 HTTP 요청을 하여 웹 서버로 임의 코드를 실행할 수 있는 취약점이었다. 다른 취약점은 시스템에 설치된 소프트웨어를 원격에서 관리하는 데 사용되는 HP 클라이언트 자동화 서비스 소프트웨어에 있었다. 그들은 조작된 네트워크 요청을 사용하여 코드를 원격에서 삽입한 다음 메모리 버퍼 버그를 이용해 해당 코드를 실행했다. 이 외에도 원격 공격을 사용하여 접근 제어를 우회하고, 공격자의 권한을 상승시켰다.^[22] 당시, 국토안보부는 이러한 취약점을 가진 업체에 시스템의 네트워크 노출을 최소화하고, 인터넷에 접근할 수 없도록 하며, 방화벽 뒤에 있는 모든 의료 기기 및 원격 장치를 찾아 업무용 네트워크에서 격리시키라는 조처를 내렸다. 또한, 원격 접근이 필요할 경우 가상사설망(VPN)과 같은 방법을 사용하여 보안성을 높이고 항상 최신 버전으로 업데이트하라는 조치를 받았다.^[23] Barnaby Jack의 의료장비 해킹이 특정 대상을 위한 해킹이었다면 이 해킹은 여러 사람에게 위협이 되는 해킹이라 볼 수 있다.

당시 이러한 취약점이 발견된 것은 2011년으로 무료 6년 전이다. 지금은 의료 기기의 발전으로 많은 기기가 네트워크와 합쳐지고 그때보다 더 많은 기기가 네트워크에 연결되어 있을 것이다. 어떻게 보면 편리해진 만큼 해커가 접근할 수 있는 범위도 더욱 넓어진 셈이다. 그리고 2017년 5월, 보안업체 화이트스코프에서 4개 제조사의 심장 박동기 소프트웨어를 검사한 결과, 고작 4개의 기기에서 8천 개의 취약점이 발견되었다고 한다.^[24] 6년이 지난 지금도 이에 대한 위험성을 전혀 못 느끼고 있다는 이야기다. 우리는 병원에 가서 검사를 받을 때 수많은 기기에 의존하여 몸의 이상을 검사한다. 이런 검사 장비에 취약점이 있다는 것은 불특정 다수, 피해자가 우리가 될 수도 있다는 것과 같다. 더욱이, 이러한 장비는 하나 들이기에도 너무 비싸고, 장비의 생산도 쉬운 일이 아니므로 장비를 다 만들고 나서 나오는 취약점을 고치기에도 어렵다. 따라서 필자가 생각하기에 앞으로 생산되는 의료 기기들은 개발과정에서 보안 인력이 투입되어 보안 절차를 준수하고 따라 생산되어야 할 것으로 생각한다. 

오늘날 우리는 병원에서 검사하고, 약을 처방받으며, 수술도 한다. 이뿐만 아니라 병원에서는 신의료기술, 새로운 약을 연구하기도 한다. 이는 병원에서 다양하고 수많은 공격 포인트가 존재한다는 것이다. 노출된 환자의 정보, 취약점 8천개, 네트워크로 연결된 수많은 의료기기, 내 몸 안에 폭탄, 건강을 담보로 두고 하는 배팅. 보안은 선택사항이 아니다. 특히, 사람 목숨과 연결되는 의료업에서 이러한 위험성을 무관하고 보안을 옵션 취급하는 것은 생겨서 안 될 일이라고 본다. 보안은 선택사항이 아니라 필수이다.