환자의 생명을 지키는 의료용 IoT Security

This post is also available in: English (영어) 简体中文 (중국어 간체) 繁體中文 (중국어 번체) Français (불어) Deutsch (독어) 日本語 (일어) Español (스페인어)

의약품용으로 맞춤 제작된 제로 트러스트 의료용 IoT Security로 모든 커넥티드 디바이스를 보호하세요.

커넥티드 의료 기기는 더욱 빠르고 정확한 진단으로 환자 경험을 향상하고, 운영 비용을 절감하고, 자동화를 통해 효율을 높이고, 전반적인 환자 진료 성과를 개선하는 데 기여함으로써 의료 서비스의 혁신을 이끌고 있습니다. 커넥티드 임상 및 운영 IoT 디바이스는 환자 모니터링부터 사무 시스템까지 모든 분야에 활용됩니다. 그러나 동시에 이러한 디바이스는 공격 표면을 확대하고 공격자가 병원 네트워크로 침투할 수 있는 가장 취약한 경로이기도 합니다.

의료 서비스는 지난 12년간(2010~2022년) 꾸준히 다른 산업에 비해 평균 침해 비용이 가장 높은 산업 중 하나였습니다. 커넥티드 의료 기기는 랜섬웨어로 병원을 인질로 삼거나, 디바이스가 환자의 중요한 개인 건강 정보(PHI)를 호스팅하면서 귀중한 데이터를 훔치는 등 공격자가 높은 수익을 낼 수 있는 표적입니다.

Palo Alto Networks의 Unit 42 위협 연구 결과, 의료 기기는 치명적인 취약점을 가지고 있으므로 병원 네트워크의 가장 취약한 경로라는 사실이 드러났습니다.

• 연구된 주입 펌프의 75%는 하나 이상의 취약점에 노출되거나 하나 이상의 보안 알림을 생성했습니다.
• X-레이, MRI 및 CT 스캐너와 같은 이미징 디바이스가 특히 취약했으며, 모든 X-레이 장비의 51%가 높은 심각성의 공통 취약점 및 노출(CVE-2019-11687)에 노출되어 있습니다.
• 일반적인 이미징 디바이스의 20%는 지원되지 않는 버전의 Windows를 실행 중이었습니다.
• CT 스캐너의 44%와 MRI 장비의 31%는 높은 심각도의 CVE에 노출되어 있습니다.

디바이스와 이들의 취약점 규모는 빙산의 일각에 불과합니다. 최근 미국 렉싱턴의 CommonSpirit, CHI St. Joseph Hospital, 프랑스 파리의 CHSF 병원, 인도 델리의 AIMS 병원에서 발생한 사이버 공격을 살펴볼 때 커넥티드 의료 기기의 보안은 도전 과제 그 이상이라는 것을 알 수 있습니다. 2022년 10월, CISA가 발표한 권고문에서는 의료 및 공중 보건 부문을 표적으로 하는 랜섬웨어 및 데이터 갈취 그룹에 대해 의료 서비스 제공자들에게 경고했습니다. 해당 그룹은 네트워크 내 데이터베이스, 이미징 및 진단 시스템에 액세스하여 특정 이익을 얻은 바 있습니다.

이러한 최신 의료 기기를 보호하기 어려운 이유는 다양합니다.

• 실제 공격 표면 파악에 영향을 미치는 비관리형 커넥티드 의료 기기에 대한 가시성이 부족합니다.
• 디바이스 컨텍스트의 부족에 따른 눈에 띄지 않는 취약점으로 인해 병원이 알려지지 않은 위협에 노출됩니다.
• 평면 네트워크의 레거시 보안 아키텍처와 오류가 발생하기 쉬운 수동 방식으로 인해 보안 정책이 HIPAA와 같은 규정 요건을 준수하는 데 방해 요소로 작용합니다.
• 여러 포인트 보안 제품의 관리로 인해 복잡성과 보안 격차가 발생합니다.

의료 기관은 더 우수한 환자 진료 성과를 창출하는 동시에 환자 데이터 개인 정보 보호와 규정 준수를 위한 디지털 혁신 여정을 지원할 수 있는 포괄적인 제로 트러스트 사이버 보안 솔루션이 필요합니다. 제로 트러스트는 모든 단계의 디지털 상호 작용을 꾸준히 검증하여 암묵적 신뢰를 제거하는 사이버 보안 전략입니다. '절대 신뢰하지 말고 상시 검증하기'라는 원칙을 기반으로 하는 제로 트러스트는 최신 디지털 의료 환경을 보호하도록 설계되었습니다. 이 원칙은 제로데이 공격을 차단하기 위한 지속적인 신뢰 검증과 디바이스 동작 모니터링을 통해 최소 권한 액세스 제어 및 정책을 적용합니다.

오직 Palo Alto Networks만이 제로 트러스트 보안을 위한 가장 포괄적이고 신속한 방법을 제공하므로 최선의 진료 서비스에 집중하기만 하면 됩니다.

현재의 검증된 IoT Security 기술로 구축하고 보안에 대한 제로 트러스트 접근 방식을 기반으로, Palo Alto Networks는 머신 러닝(ML)을 사용하는 의료용 IoT Security를 도입하여 의료 서비스 제공자에게 의료 기기를 위해 특별 설계된 IoT Security 제품을 제공합니다. 솔루션을 통해 모든 디바이스를 빠르게 검색하고 평가할 수 있으며, 쉽게 분할하고 최소 권한 액세스를 적용하며 단순화된 운영을 통해 알려지거나 알려지지 않은 위협으로부터 보호할 수 있습니다. 또한 새로운 제품을 통해 의료 서비스 제공자는 다음과 같이 보안을 향상하고 취약점을 줄일 수 있습니다.

• 네트워크 세그먼테이션 검증: 커넥티드 디바이스의 전체 맵을 시각화하고 각 디바이스가 지정된 해당 네트워크 세그먼트에 배치되도록 합니다. 올바른 네트워크 세그먼테이션을 통해 디바이스는 승인된 시스템과만 통신할 수 있습니다.
• 규칙을 기반으로 보안 대응 자동화: 디바이스의 동작 이상을 파악하기 위한 정책 규칙을 생성하고 적절한 대응을 자동으로 트리거합니다. 예를 들어, 야간에는 일반적으로 소량의 데이터만을 전송하는 의료 기기가 갑자기 많은 대역폭을 사용하기 시작하는 경우, 사전 정의된 규칙이 인터넷으로부터 디바이스 연결을 자동으로 끊고 보안팀에 이를 알립니다.
• 제로 트러스트 모범 사례 정책 및 적용 자동화: 지원되는 적용 기술의 디바이스에 대해 권장되는 최소 권한 액세스 정책을 원클릭으로 적용합니다. 따라서 오류가 발생하기 쉽고 시간이 소요되는 수동 정책 생성 과정을 해소하고 동일한 프로필로 일련의 디바이스 전체를 쉽게 확대할 수 있습니다.
• 디바이스 취약점 및 위험 상태 파악: 각 디바이스의 위험 상태에 대한 즉각적인 인사이트가 제공되며, 여기에는 수명 종료 상태, FDA 리콜 알림, 기본 비밀번호 경고, 무단 외부 웹사이트 통신, MDS2, CVE, 동작 이상, Unit42 위협 연구 등이 있습니다. 또한 각 의료 기기의 소프트웨어 재료 명세서(SBOM)에 액세스하고 이를 공통 취약점 및 노출(CVE)로 매핑합니다. 이 매핑을 통해 의료 기기에 사용된 소프트웨어 라이브러리 및 모든 관련 취약점을 식별할 수 있습니다.
• 규정 준수 향상: 의료 기기 취약점, 패치 상태, 보안 설정을 쉽게 이해하고 디바이스가 건강 보험 양도 및 책임법(HIPAA), 일반 데이터 보호 규정(GDPR), 유사 법률 및 규정과 같은 규칙 및 지침을 준수하도록 하는 권장 사항을 제공받을 수 있습니다.
• 운영 단순화: 두 개의 구분된 대시보드를 통해 IT와 생체 의학 엔지니어링 팀이 업무를 위한 중요한 정보를 모두 확인할 수 있습니다. AIMS 및 Epic Systems와 같은 기존 의료 정보 관리 시스템과 통합하여 워크플로 자동화를 지원합니다.
• 데이터 상주 요구 사항 충족: 의료용 IoT Security로 미국, 독일, 싱가포르, 일본 및 호주의 고객이 로컬 클라우드 호스팅을 통해 IoT Security를 더욱 쉽게 도입할 수 있습니다. 지역별 의료용 IoT Security 서비스 가용성에 따라, GDPR과 같은 로컬 데이터 상주 및 현지화 요구 사항을 충족할 수 있습니다.

의료용 IoT Security와 함께 제공되는 실천 가능한 가이드라인

환자의 더욱 우수한 진료를 위해 의료 산업의 자체적인 혁신에 따라, 커넥티드 의료 기기 또한 계속 발전할 것입니다. 강력한 제로 트러스트 프레임워크에 기반을 둔 의료용 IoT Security를 통해 의료 산업은 전체 주기 보호를 위한 실천 가능한 가이드라인으로 커넥티드 임상 디바이스를 더욱 안전하게 사용할 수 있습니다. 의료용 IoT Security가 제공하는 가시성, 리스크 및 조치를 통해 의료 시스템은 모든 커넥티드 의료 기기 및 애플리케이션에 제로 트러스트를 실현할 수 있습니다.

의료용 IoT Security에 대한 더 자세한 내용을 확인하려면 의료용 IoT 디바이스에서의 제로 트러스트에 대한 올바른 접근 방식 백서를 읽어보시기 바랍니다.