정보통신기사, 정보통신학과, 통신직 등 정보통신일반 요점 정리 165. 헬스케어 보안

165. 헬스케어 보안

가. 헬스케어 보안의 필요성
지난 10여년간 사이버보안 범죄의 주요 타깃은 금융과 유통분야에 집중되었다. 그
러나 최근 헬스케어 분야의 디지털화가 급속히 진행되면서 데이터 양이 크게 늘었지
만 상대적으로 보안에 허술한 부분이 발생하여 사이버 범죄에 악용될 우려가 높은 상
황이다.
헬스케어는 유무선 네트워크와 전자 의료기기를 통해 언제, 어디서나 이용 가능
한 건강관리 및 의료서비스 지원과 환자의 질병에 대한 원격관리, 일반인의 건강유
지 및 향상을 목적으로 하는 종합적인 건강관리 서비스이다. 최근 바이오센서 및 스
마트 의료 기기의 발달 등으로 IoT 환경과 접목되어 서비스의 실체화가 가속화되고
있는 추세에 있다.

 

<사물인터넷과 모바일 헬스케어, 웨어러블 디바이스 등 비교>

그러나 기기간 네트워킹에 따라 의료정보 및 개인정보가 전송되어 이에 대한 악용
및 정보보호에 대한 우려의 목소리가 점차 커져가고 있다. 헬스케어 서비스는 개인
프라이버시 문제와 TCP/IP 기반의 취약점이 문제가 되는데, 정확한 진료를 받기 위
해서는 자신의 생체정보를 포함한 개인 질병 내력, 가족력, 신체적 특징 등의 개인 의
료 정보를 충분히 제공해야 하기 때문에 보안상의 문제로 인한 정보 유출시, 그 피해
는 금전적인 문제와 함께 개인의 생명까지도 위협받을 수 있게 된다.

나. 헬스케어의 보안 위협요소
헬스케어 서비스는 개인의 건강 및 의료 정보를 포함한 개인정보를 다루기 때문에
무선 네트워크 환경에서의 보안 및 프라이버시(Privacy) 측면에서 다양한 위협요소가
존재할 수 있다. 특히, 개인건강정보(Personal Health Record, PHR)는 개인의 병력을
포함하므로 이러한 정보의 노출시 민감한 개인 프라이버시 문제가 발생할 수도 있다.
의료정보시스템의 확산으로 다음과 같은 다양한 보안 위협들이 존재한다.
∙ 데이터 도청(Data Eavesdropping) 공격 : 공격자가 전송중인 의료 정보를 불법적
으로 가로채어 메시지 내용을 도청할 수 있다.
∙ 트래픽 스니핑(Traffic Sniffing) 공격 : 공격자가 네트워크 중간에서 타인의 의료
패킷 정보를 가로챌 수 있다.
∙ 메시지 조작(Message Modification) 공격 : 공격자가 데이터 통신 도중에 전송중
인 데이터의 내용을 정상적인 권한 없이 조작할 수 있다.

∙ 위장 메시지 전송(Faked Message Transmission) 공격 : 공격자가 악의적으로 불필
요한 데이터를 정상적인 권한 없이 수신자에게 위장하여 송신할 수 있다.
∙ 메시지 재전송(Message Replay) 공격 : 공격자가 데이터 통신을 하는 도중에 보낸
데이터를 [그림 9-24]과 같이 재전송하여 불법적 인증 및 그에 대한 응답 내용을
추정하여 위장 공격할 수 있다.

∙ 서비스 거부(Denial of Service, DoS) 공격 : 공격자가 시스템에 과도한 부하를 일
으켜 의료 정보 시스템의 중요 데이터나 자원을 정당한 사용자가 이용하는 것을
방해할 수 있다.
∙ 자원 고갈(Resource Exhaustion) 공격 : 공격자가 시스템의 자원을 불필요하게 소
모시켜 필요한 통신이 이루어지지 않게 할 수 있다.
∙ 악성 코드(Malicious Code) 공격 : 공격자가 악의적인 목적을 위한 실행 가능한
코드를 사용자 또는 서버에 설치할 수 있다.
∙ 위장(Impersonation) 공격 : 공격자가 시스템에 접근하기 위해 허가받은 사용자
로 위장할 수 있다.
∙ 세션 하이재킹(Session Hijacking) 공격 : 공격자가 다른 의료 서비스 사용자의 세
션 상태를 훔치거나 도용하여 해당 서비스에 접근할 수 있다.
∙ 터미널 하이재킹(Terminal Hijacking) 공격 : 공격자는 다른 의료 서비스 사용자
가 사용 중인 터미널 상태를 도청하거나 세션을 제어하여 해당 서비스에 접근할
수 있다.
∙ 부인(Repudiation) 공격 : 악의적인 메시지의 송수신자가 정당한 메시지의 송수
신 사실을 부인할 수 있다.
∙ IP 스푸핑(Spoofing) : [그림 9-25]와 같이 신뢰관계에 있는 두 시스템 사이에서 허가 받지 않은 자기 자신의 IP 주소를 신뢰관계에 있는 호스트의 IP 주소로 바
꾸어 속이는 것으로 IP 주소로 인증하는 서비스를 무력화할 수 있으며, 공격자가
마치 신뢰성 있는 자가 송신한 것처럼 패킷의 소스 IP를 변조하여 접속을 시도하
는 침입형태를 말한다.

∙ 중간자 공격(Man-in-the-Middle Attack) : 데이터 스트림의 불법 수정이나 거짓
데이터 스트림의 생성을 수반하며, 서버와 사용자간에 상호인증이 이루어지지
않으면 공격이 가능하다. 즉, [그림 9-26]과 같이 공격자는 송신자 측과는 수신
자로 위장하며, 수신자 측과는 송신자로 위장하여 통신하고 이 공격은 신분 위장
(Masquerade), 재전송(Replay), 서비스 거부 공격(Denial of service attack) 등의
적극적 형태의 공격이 가능하다.

다. 헬스케어의 보안위협의 대응
헬스케어 서비스는 사용자의 생체정보 및 개인 건강기록 등이 의료시스템에 저장되
므로 개인 생체정보, 시스템, 사용자 인증 등과 관련된 정보보호 안전성과 신뢰성 확
보를 위한 기술적 대책이 필요하다. 특히 의료시스템에서 각 구성 요소의 내부와 구
성 요소 간 전달되는 생체정보의 기밀성 및 무결성, 시스템의 가용성을 보장하기 위
해서는 다음과 같은 대응 방안을 강구해야 한다.
∙ 데이터 보호 : 모든 네트워크 구성요소들 간 주고받는 데이터들은 비인가된 접속
과 비인가된 수정, 또는 비 인가된 상대로부터 보호 되어야 함
∙ 보안기능 : 헬스케어 서비스는 기본적으로 인터넷과 같은 공용네트워크를 사용하
기 때문에 이를 통한 개인용 생체정보를 포함한 전송되는 모든 데이터에 대해서
사용자 인증, 키관리, 암호화, 무결성 등의 보안 기능을 제공해야 함
∙ 인증 : 헬스케어 서비스를 사용하는 사용자 식별을 위한 사용자 인증이 필요함
∙ 접근제어 : 효과적인 보안을 위해 접근제어 방식을 활용한 사용자별 권한 관리 및
사용내역이 관리되어야 함
∙ 무결성 : 개인 생체정보 측정 장치로부터 획득된 데이터에 대한 무결성 보장을 위
해 데이터 인증 및 검증 기능을 제공해야 함
또한 네트워크 스캐닝 공격형태에 대해서는 스캐닝 도구를 사용하여 자가 진단하
거나 불필요한 ICMP 메시지를 차단하고 프록시 기반 방화벽 및 패킷 필터링 도구를
사용한다. TCP/IP 인증 공격의 경우는 게이트웨이의 IP와 MAC 주소를 정적으로 고
정시킴으로 잘못된 ARP Reply 정보가 오더라도 이를 ARP Table에 반영하지 못하도
록 한다. 그리고 송수신되는 서버의 경우 SSL 방식 등을 이용하여 웹 트래픽을 암호
화 처리한다. 개인정보의 경우는 마스킹 등의 개인 정보 비식별화를 통해 개인을 특
정할 수 없도록 한다.