MEDI:GATE NEWS 원격의료 기술적 안전성도 낙제점

기사입력시간 15.07.29 07:13최종 업데이트 15.07.29 07:16

정부가 의료계와 협의 없이 일방적인 원격의료 시범사업을 진행중인 가운데 기술적 안전성에서도 낙제점을 받은 것으로 나타났다. 의사협회 의료정책연구소는 28일 기자회견을 열어 원격의료 기술적 안전성 평가 연구결과를 발표했다. 의사협회 의료정책연구소는 원격의료사업의 기술적 안전성을 진단하기 위해 2014년 10월 고대 정보보호대학원에 ‘원격의료체계 기술적 안전성 평가’ 연구용역을 발주했다. 고대 정보보호대학원은 이를 위해 총 22회에 걸쳐 보건복지부, 원격의료 시범사업 보건소 등에 현장 확인을 위한 협조를 요청했지만 상당수가 거부해 연구에 어려움이 있었다. 이 때문에 원격의료 시범사업중인 일부 기관(보건소, 마을회관)의 허락을 받아 현장 확인을 진행할 수밖에 없었다. 현장 확인 결과 '비 암호화 통신' '악성코드 감염 노출' '비밀번호 설정 취약' '파일 외부 전송 통제 불가' 'PC 보안 프로그램 미설치' '저품질 영상' 'ID카드 도용으로 인한 오진 발생 가능' '외부인의 시스템에 대한 접근차단 조치 부실' '서비스 이용 교육 및 정보 제공 부재' '이용자 개인정보 동의 및 관리절차 부재' 등의 문제점이 확인됐다. 고대 정보보호대학원은 원격의료를 포함한 의료분야 전체를 평가하기 위해 총 195개의 평가항목을 개발했다. 이를 토대로 안전성 수준을 확인한 결과 44개 항목만 현장 적용 가능했고, 모든 평가항목에서 제시하는 보안요구사항을 만족하지 못했다. '원격의료 진료실에 대한 보호조치 부재' '비인가자의 원격의료 시스템 접근 가능' '문제발생 시 대응절차 미흡' 등의 심각한 문제점이 발견됐다는 게 연구팀의 최종 결론이다. 연구팀은 원격의료서비스에 이용되고 있는 의료기기(블루투스 혈압측정계)에 대한 모의 해킹을 수행, 취약점도 점검했다. 그 결과 어플리케이션 로그인을 할 때 아이디, 비밀번호를 포함한 개인정보가 평문으로 전송돼 탈취가 가능한 것으로 드러났다. 이와 함께 혈압 측정결과 입력 및 확인 시 혈압, 맥박 등의 의료정보 역시 평문으로 전송돼 탈취할 수 있었다. 연구팀은 약학정보원 정보 유출 사고와 같은 실제 사례를 반영한 시나리오를 만들어 위험분석모델 중 FAIR(Factor Analysis of Information Risk) 방법론을 이용해 정성적·정량적 피해규모를 산정했다. 연구팀은 "위험분석 결과 지금의 원격의료 서비스는 보안기능이 갖춰져 있지 않아 대부분 시나리오에 대해서 위험도가 높은 것으로 확인됐다"면서 "약학정보원 정보 유출 사고를 기반으로 한 시나리오를 적용하자 약 2000억원에서 2700억원 정도의 피해가 일어날 것으로 예상된다"고 강조했다. 결국 현 원격의료 시범사업 서비스는 '일방적인 추진' 외에도 '비 암호화 통신' '접근통제 미비' '보안 프로그램 미비' 등의 기술적 안전성 부재라는 평가를 면치 못하게 됐다. 의료정책연구소는 "현 상태의 서비스 수준으로 원격의료를 할 경우 약학정보원 의료정보 유출 사례와 같은 보안사고 발생이 자명하다"고 못 박았다.

제보 공유

원격의료 기술적 안전성도 낙제점

"보안 취약…환자정보 유출 못박는다" 결론

고대 정보보호대학원은 이를 위해 총 22회에 걸쳐 보건복지부, 원격의료 시범사업 보건소 등에 현장 확인을 위한 협조를 요청했지만 상당수가 거부해 연구에 어려움이 있었다.

이 때문에 원격의료 시범사업중인 일부 기관(보건소, 마을회관)의 허락을 받아 현장 확인을 진행할 수밖에 없었다.

현장 확인 결과 '비 암호화 통신' '악성코드 감염 노출' '비밀번호 설정 취약' '파일 외부 전송 통제 불가' 'PC 보안 프로그램 미설치' '저품질 영상' 'ID카드 도용으로 인한 오진 발생 가능' '외부인의 시스템에 대한 접근차단 조치 부실' '서비스 이용 교육 및 정보 제공 부재' '이용자 개인정보 동의 및 관리절차 부재' 등의 문제점이 확인됐다.

고대 정보보호대학원은 원격의료를 포함한 의료분야 전체를 평가하기 위해 총 195개의 평가항목을 개발했다.

이를 토대로 안전성 수준을 확인한 결과 44개 항목만 현장 적용 가능했고, 모든 평가항목에서 제시하는 보안요구사항을 만족하지 못했다.

'원격의료 진료실에 대한 보호조치 부재' '비인가자의 원격의료 시스템 접근 가능' '문제발생 시 대응절차 미흡' 등의 심각한 문제점이 발견됐다는 게 연구팀의 최종 결론이다.

연구팀은 원격의료서비스에 이용되고 있는 의료기기(블루투스 혈압측정계)에 대한 모의 해킹을 수행, 취약점도 점검했다.

그 결과 어플리케이션 로그인을 할 때 아이디, 비밀번호를 포함한 개인정보가 평문으로 전송돼 탈취가 가능한 것으로 드러났다.

이와 함께 혈압 측정결과 입력 및 확인 시 혈압, 맥박 등의 의료정보 역시 평문으로 전송돼 탈취할 수 있었다.

연구팀은 약학정보원 정보 유출 사고와 같은 실제 사례를 반영한 시나리오를 만들어 위험분석모델 중 FAIR(Factor Analysis of Information Risk) 방법론을 이용해 정성적·정량적 피해규모를 산정했다.

연구팀은 "위험분석 결과 지금의 원격의료 서비스는 보안기능이 갖춰져 있지 않아 대부분 시나리오에 대해서 위험도가 높은 것으로 확인됐다"면서 "약학정보원 정보 유출 사고를 기반으로 한 시나리오를 적용하자 약 2000억원에서 2700억원 정도의 피해가 일어날 것으로 예상된다"고 강조했다.

결국 현 원격의료 시범사업 서비스는 '일방적인 추진' 외에도 '비 암호화 통신' '접근통제 미비' '보안 프로그램 미비' 등의 기술적 안전성 부재라는 평가를 면치 못하게 됐다.

의료정책연구소는 "현 상태의 서비스 수준으로 원격의료를 할 경우 약학정보원 의료정보 유출 사례와 같은 보안사고 발생이 자명하다"고 못 박았다.

오탈자 신고 스크랩 인쇄 제보 공유

안창욱 기자 (cwahn@medigatenews.com)010-2291-0356. am7~pm10 welcome. thank you!!

이 기자의 다른 기사 보기

댓글보기(0)