[데이터넷] 의료기관을 노린 사이버 공격이 급증하고 있다. 의료기관은 랜섬웨어 공격에 취약한데, 환자 생명과 직결된 의료시스템이 랜섬웨어 피해를 입으면 의료기관은 시간을 끌지 못하고 돈을 줄 수밖에 없기 때문이다. 원광대학교병원은 랜섬웨어를 비롯한 지능형 위협으로부터 환자와 환자 정보, 의료 시스템을 보호하기 위해 보안에 적극적으로 투자하고 있으며, 다양한 엔드포인트를 안전하게 보호할 수 있는 EDR 솔루션을 도입해 보안성을 한층 높였다.

“병원 최우선 과제, 보안”

원광대학교병원(대표 윤권하)은 ‘제생의세(濟生醫世, 의술로 병든 세상을 구제한다)’라는 미션으로 1980년 설립된 상급종합병원이다. 전라북도 익산에 위치한 원광대병원은 권역외상센터·권역응급의료센터·응급의료전용헬기·전북권역심뇌혈관질환센터·다인용 고압산소치료 챔버 등 퀀터플 응급의료체계를 구축한 국내 유일 병원이다.

원광대병원은 환자 중심 논스톱 진료와 안정적인 의료 서비스 제공을 위해 2018년 전산정보시스템 고도화 프로젝트를 완료했다. 또한 원광대병원은 바이오헬스 4차 산업혁명시대를 선도하는 글로벌 명문 병원으로 도약한다는 계획으로 전략적인 IT 투자를 단행하고 있다.

원광대병원은 의료기관을 타깃으로하는 지능적이고 지속적인 사이버 위협과 내부자 위협으로부터 환자와 환자정보, 의료시스템을 보호하기 위해 다양한 노력을 기울이고 있다. 특히 의료기관은 랜섬웨어·해킹 등 많은 보안위협이 집중되고 있는데, 보안사고로 시스템이 중단된다면 환자의 생명까지 위험해질 수 있기 때문이다.

그래서 최적의 보안 솔루션을 적용해 환자 개인 정보를 철저하게 보호·관리할 수 있도록 했으며, 의료정보 시스템(EMR·OCS)과 홈페이지 서비스 운영 부문에서 ‘정보보호 관리체계(ISMS)’ 2회 연속 인증을 획득하는 등 다양한 보안 투자 노력을 기울이고 있다.

김형선 원광대병원 전산정보팀 정보보호 파트장은 “의료시스템 중단은 최악의 상황으로 이어질 수 있다. 예기치 못한 사고로 의료 시스템이나 네트워크가 중단됐을 때, 다른 병원으로 옮길 수 없는 응급환자와 위중증 환자의 목숨이 위험할 수 있다. 병원시스템은 매우 높은 가용성과 신뢰성이 보장돼야 한다”며 “원광대병원은 보안을 최우선 과제로 선정하고 사이버 사고나 장애로 시스템과 네트워크가 중단되거나 장애를 일으키지 않도록 중점적인 투자를 기울이고 있다”고 말했다.

오래된 OS 기기 보호 방안 필요

원광대병원은 보안에 꾸준히 투자해 왔으나 지원이 종료된 취약한 OS를 탑재한 기기가 여전히 남아 있어 이 기기를 보호할 방법을 마련해야 했다. 주로 이런 기기는 의료시스템의 특수성 때문에 OS 패치나 업그레이드가 쉽지 않거나 유지보수가 용이하지 않은 외산 특수목적 장비 혹은 이를 운영하기 위한 PC 시스템이었다.

원광대병원은 이러한 취약성을 가진 기기 뿐만 아니라 여러 엔드포인트들이 스피어피싱·제로데이 공격·랜섬웨어 등의 위협을 받는 것을 선제적으로 차단해야 했다. 또한 지속적인 모니터링으로 지능적으로 전개되는 이상행위 까지 탐지해 피해가 발생하기 전에 대응할 수 있는 방법이 필요했다.

김형선 파트장은 “중요한 의료기기는 인터넷과 분리된 내부 전용망으로 연결돼 있기 때문에 외부 위협으로 부터 안전하다. 그러나 이를 관리하는 PC나 자료 공유를 위해 사용하는 USB 등 파악하지 못한 외부와의 연결점이 있을 수 있으며, 미처 찾아내지 못한 취약점으로 인한 문제가 발생할가능성을 완전히 배제할 수는 없었다”며 “기존 보안 시스템으로 탐지하지 못한 문제까지 미연에 방지할 수 있는 방안을 검토한 후 EDR 도입을 결정했다”고 말했다.

원광대병원은 이미 다양한 엔드포인트 기기를 위한 안티 바이러스(AV)를 운영하고 있었지만, 알려지지 않은 위협 차단과 지원 중단된 OS 기반 기기를 보호하는데 AV는 충분하지 못했다. 그래서 엔드포인트의 다양한 이상행위를 모니터링·분석하는 EDR을 도입하기로 결정했다.

국내외 다양한 EDR 솔루션을 꼼꼼히 검토하고 POC와 데모를 진행하며 적합한 솔루션을 찾았다. 그런데 외산 EDR 솔루션은 관리 복잡성이 높아 적합하지 않았다. 외산 솔루션들은 컴퓨터 명을 기반으로 엔드포인트를 찾아야 해 관리가 어려우며, 엔드포인트 에이전트와 정책서버의 통신이 원활하지 못할 때 이상행위가 나타나기도 했다. 또한 장애 대응, 유지보수도 쉽지 않을 것으로 판단했다.

보안성·편의성 높은 EDR 선택

지니언스의 EDR 솔루션 ‘지니안 인사이츠 E’는 기존에 운영하던 ‘지니안NAC’ 에이전트에 플러그인 되기 때문에 배포와 관리가 매우 편하다는 장점이 있었다. 매달 패치가 배포돼 최신 위협에도 신속하게 대응할 수 있으며, 지원이 종료된 취약한 OS까지 모든 종류의 엔드포인트를 지원하기 때문에 보안 우려를 덜 수 있었다.

서버와 통신이 중단된다 해도 에이전트 중단이나 장애가 발생하지 않는다는 것도 장점이다. 오프라인 상황에서도 에이전트가 스스로 알려진 위협에 대응할 수 있어서 이동 중이나 외부·원격지에서의 작업도 보호할 수 있다. 이 경우 병원 네트워크에 다시 연결을 시도할 때 전체 시스템 무결성 검사 후 접속을 허용해 외부 보안위협이 내부로 침투할 가능성을 현격하게 낮춘다. 원격지에서의 작업 이력을 기록하기 때문에 추고, 사고 시 조사 증거로 활용해 사고 경위를 파악할 수 있게 한다.

뛰어난 머신러닝 지원

EDR 솔루션 도입 시 가장 중요하게 검토한 것은 당연히 보안탐지 능력이다. 제품 도입을 위한 테스트 시 알려지지 않은 여러 종류의 새로운 랜섬웨어 샘플을 유입시켜봤는데, ‘지니안 인사이츠 E’는 모두 성공적으로 탐지했다. 단순히 위협 이벤트만 생성시킨 것이 아니라 비정상적인 프로세스를 격리시켜 위협이 확산되는 것을 차단했다.

‘지니안 인사이츠 E’는 악성코드 유입과 감염, 취약점을 이용한 내부 확산 탐지, 반복적으로 발생하는 이상행위와 위협을 실시간으로 추적해 신속하게 대응할 수 있게 한다. 뛰어난 인텔리전스 기능을 탑재한 디바이스 플랫폼 인텔리전스(DPI) 기술을 이용해 모든 종류의 기기를 가시화하고 행위를 분석한다. IoC·머신러닝·행위기반 위협 탐지·야라 룰 적용 등 다양한 탐지·대응 기술을 적용해 완전히 새로운 위협까지 대응한다.

실제 신종 랜섬웨어 샘플까지 성공적으로 차단한 것을 확인한 후 원광대 병원은 ‘지니안 인사이츠 E’ 구축을 본격적으로 시작했다. 이 솔루션의 머신러닝 탐지 효과를 높이기 위해 정상 프로세스를 학습시켰으며, 오탐 발생 시 탐지 룰을 수정해 현재 오탐을 거의 찾아볼 수 없을 정도로 정탐률을 높이고 있다.

김형선 파트장은 “9월 테스트 후 도입을 시작해 12월 말까지 3개월여 학습 기간을 거치는 중이다. 현재 머신러닝 학습 능력은 매우 뛰어난 것으로 평가하고 있다. EDR은 오탐 혹은 노이즈가 많아 관리조직의 업무를 증가시킨다는 우려가 있는데 ‘지니안 인사이츠E’는 그런 우려가 낮아 관리 부담이 낮은 편이다”라며 “정책 설정된 악성코드와 이상행위에 지능적으로 자동 대응해 엔드포인트 보안위협을 낮춰주며, 가벼운 에이전트로 엔드포인트 장애가 발생하지 않는 등 솔루션의 성숙도 면에서도 매우 만족하는 편”이라고 평가했다.

현장 테스트로 보안 탐지 능력 확인해 보안 솔루션을 추가할 때 보안관리자들이 걱정하는 것 중 하나가 임직원의 불만이 증가할 수 있다는 점이다. 추가된 보안 솔루션이 정상적인 업무에 지장을 줄 수 있으며, 때로 개인적인 업무도 제약이 있다는 것을 걱정한다.

원광대병원은 평소 악성메일과 피싱에 대한 교육과 모의훈련을 자주 하면서 임직원과 의료진의 보안인식을 높이고 있다. 또한 ‘지니안 인사이츠 E’의 오탐이 적어 보안 솔루션 도입으로 인한 불편함을 거의 겪지 않았다.

김형선 파트장은 “원광대병원 임직원과 의료진은 평소 교육과 훈련을 통해 메일이나 외부 파일의 신뢰성을 반드시 확인하는 것을 습관화했으며, 의심스러운 행위는 보안조직에서 분석한 후 허가하는 정책을 운영하고 있었기 때문에 보안 솔루션 추가에 대한 불만은 없었다. 또 ‘지니안 인사이츠 E’가 오탐이 거의 없이 비정상 행위만 탐지하므로 업무에 지장을 주는 일도 거의 발생하지 않았다”고 밝혔다.

그는 “공격이 많이 발생하는 엔드포인트 보안 문제를 해결하기 위해 많은 기업·기관이 EDR 도입을 검토하고 있는데, 솔루션 벤더에서 제안하는 내용과 실제 현장에서 작동하는 성능·器能및 탐지 능력은 완전히 다를 수 있다”며 “EDR 도입을 고민할 때 반드시 현장에서 테스트해 봐야 하며, 자사 환경에 최적화해 구축될 수 있는지, 향후 장애대응과 유지보수는 어떤지 확인해야 한다”고 조언했다.

이어 그는 “보안조직의 IT와 비즈니스에 대한 이해도 EDR 도입 시 반드시 고려해야 한다. 최근 EDR 솔루션이 오탐·노이즈를 많이 줄였다고 하지만, 그래도 보안조직의 업무가 늘어나는 것은 사실이다. 탐지된 이벤트를 분석하고 정책에 반영하기 위해서는 각 부서 업무와 데이터의 특성, 비즈니스 환경의 특수성을 이해해야 하며, 여러 부서의 의견을 조율해 가장 효과적인 EDR 탐지·대응 정책을 마련할 수 있어야 한다”고 덧붙였다.