많은 사람들이 의료 분야에서 발생하고 있는 디지털 혁신을 높이 평가하고 있습니다. 의료 산업은 기술을 현대화함으로써 팩스와 같은 비효율적인 데이터 교환 방법에서 벗어나고 있습니다. 새로운 AI 도구와 고급 분석 모델 덕분에 이 산업은 임상의와 비즈니스 의사 결정자들에게 그 어느 때보다 더 많은 데이터를 제공하고 있습니다.
그러나 의료의 디지털 혁신은 결과 없이 이루어지지 않습니다. 장치와 시스템이 더 연결되면서 환자 데이터가 노출될 위험이 증가합니다. 지난주 사이버 보안 소프트웨어 공급업체인 Censys는 14,000개 이상의 고유 IP 주소가 전 세계적으로 환자의 잠재적으로 민감한 의료 정보를 공개 인터넷에 노출하고 있다는 보고서를 발표했습니다.
보고서에 따르면, 의료 이미지를 교환하고 보기 위한 오픈 포트와 웹 인터페이스는 이러한 노출의 36%를 차지합니다. 이러한 포트와 웹 인터페이스는 주로 초음파, X선, CT 스캔 및 MRI와 같은 잠재적으로 민감한 의료 이미지를 위해 사용됩니다.
Censys의 보안 연구원인 Himaja Motheram은 “최소한 이러한 서비스에 접근하는 모든 사용자에게 인증을 요구해야 한다”고 말했습니다. 그녀는 “다중 요소 인증을 구현하면 단순한 비밀번호 이상의 추가 보안 계층을 제공할 수 있다”고 덧붙였습니다.
Motheram은 “이외에도 DICOM 서비스는 가능하면 공개 인터넷에 노출되지 않아야 합니다. 이는 그 기능에 불필요합니다. 대신, 조직은 허가된 사용자를 위한 안전한 연결을 생성하는 데 가상 사설망(VPN)을 사용해야 합니다”라고 선언했습니다.
보고서에 따르면 EMR 시스템은 두 번째로 큰 노출 유형으로 28%를 차지하고 있습니다. EMR의 로그인 인터페이스가 노출될 경우, 사회 보장 번호 및 민감한 의료 기록을 포함한 방대한 양의 환자 데이터가 위험에 처할 수 있습니다.
Epic은 Censys의 보고서에서 관찰된 EMR 노출의 90% 이상을 차지합니다.
많은 의료 제공자들이 Epic의 제품에 의존하고 있다는 것은 분명합니다. 이러한 의존성은 Epic 플랫폼의 취약점이 여러 의료 시설에 불균형적인 영향을 미칠 수 있음을 의미합니다, Motheram은 지적했습니다.
Motheram은 “Epic의 EMR은 다중 요소 인증을 지원합니다. EMR 중에서는 드문 경우로, 이는 보안을 강화하기 위한 긍정적인 단계입니다. 그러나 이 기능이 모든 사용자에게 일관되게 요구된다는 것을 보여줄 만큼의 충분한 증거는 없습니다. 광범위하게 사용되는 핵심 인프라 소프트웨어 공급업체로서 Epic은 그 제품의 보안을 우선시할 책임이 막중합니다”라고 말했습니다.
보고서는 또한 미국에 다른 나라들보다 훨씬 더 많은 공개 가능한 의료 애플리케이션이 있다고 언급했습니다. Censys가 발견한 14,004개의 노출 중 거의 7,000개가 미국에 있습니다.
Motheram은 미국의 의료 시스템이 지리적으로나 조직적으로 분산되어 있기 때문에 노출이 불균형하게 많다고 remark했습니다.
Motheram은 “더 중앙 집중화된 의료 인프라를 가진 국가와는 달리, 미국은 대규모 다지역 병원 네트워크, 의과대학 및 수천 개의 소규모 전문 클리닉이 혼합되어 있으며, 각기 자신만의 시스템과 디지털 인프라를 가지고 있습니다. 이는 전반적으로 일관되지 않은 보안 기준을 초래하며, 중요한 보안 문제가 발생할 경우 완화 및 홍보 노력을 더 어렵게 만듭니다”라고 설명했습니다.
사진: WhataWin, Getty Images