전문가 질문&A: 의료기관은 증가하는 사이버 위협에 어떻게 대비할 수 있나요?

이 Q&A는 원래 헬스케어 글로벌. 인터뷰 진행: 엘라 톰슨.

HIPAA 저널에 따르면 의료 분야의 랜섬웨어 공격은 2022년 상반기에 328건(% )이 증가했습니다. IBM 보안 침해 비용 보고서 2022에 따르면 의료 분야의 평균 보안 침해 비용은 1010만 달러로 다른 산업의 평균 435만 달러에 비해 훨씬 높습니다.

의료 산업은 사이버 공격의 주요 표적이 되고 있는데, 조직은 어떻게 대비할 수 있을까요?

일루미오의 산업 솔루션 마케팅 디렉터인 트레버 디어링과 함께 의료 기관이 사이버 위협에 선제적으로 대응할 수 있는 방법에 대해 이야기를 나눠보았습니다.

4월 17일부터 21일까지 시카고에서 열리는 HIMSS 2023의 2678번 부스에서 Illumio와 함께하세요. 지금 등록하세요.

의료 분야가 사이버 공격자들의 표적 목록에서 가장 높은 순위에 있는 이유는 무엇일까요?

의료 분야는 사이버 공격으로 인해 환자의 복지, 심지어 생명까지 위험에 빠뜨릴 수 있기 때문에 사이버 공격의 주요 표적이 되고 있습니다.

사이버 범죄자들은 항상 보상이 가장 큰 기회를 제공하는 사람들을 노립니다. 의료 서비스 제공자는 환자의 안전이 걸린 상황에서 다운타임을 감당할 수 없다는 것을 알고 있기 때문에 신속하게 보험금을 지급할 가능성이 높습니다. 그렇기 때문에 이 분야는 특히 지난 몇 년 동안 랜섬웨어 공격의 주요 피해자가 되었습니다.

하지만 조직이 주의해야 하는 것은 랜섬웨어 공격뿐만이 아닙니다. 의료 서비스 제공업체는 다크웹 시장에서 상품으로 거래되는 환자에 대한 대량의 개인 데이터를 보유하고 있습니다. 이러한 데이터는 더 많은 표적 공격, 협박, 사기를 유발합니다.

또한 커넥티드 의료 기기의 등장으로 공격 범위가 확대되면서 의료 업계는 더욱 매력적인 공격 대상이 되었습니다. 경제 불안정과 공공 지출 압박으로 인해 많은 의료 서비스 제공업체는 다른 부문의 강력한 사이버 전략에 대응할 예산이 부족합니다.

랜섬웨어 공격은 정확히 어떻게 전개되나요?

대부분의 랜섬웨어 공격은 비슷한 패턴을 따릅니다. 랜섬웨어 공격자는 조직에 대한 초기 액세스 권한을 확보하고 네트워크 내부에 숨어 있다가 공격하기 전에 최대 수개월 동안 공격을 감행합니다. 랜섬웨어를 배포하기 전에 조직의 네트워크에서 은밀하게 이동하여 더 높은 수준의 액세스 권한을 획득하여 중요한 파일과 미션 크리티컬 시스템에 액세스하고 파일과 애플리케이션을 효과적으로 잠급니다. 조직이 확산을 막을 수 없다면 모든 활동이 빠르게 중단될 것입니다.

의료 서비스 제공자에게 최악의 시나리오는 환자의 바이탈을 모니터링하고 자동으로 치료를 시행하기 위한 센서와 같은 의료 기기의 연결이 끊어지는 것입니다. 또는 중요한 환자 기록과 예약 관리를 위한 시스템을 잠가 조직을 사실상 마비시킬 수도 있습니다.

또한 데이터 암호화와 유출을 결합한 '이중 강탈' 전술을 사용하는 공격이 증가하고 있습니다. 공격자는 데이터를 복사하여 암호화한 다음 피해자가 몸값을 지불하더라도 기밀 정보를 유출하거나 판매하겠다고 협박합니다.

의료 기관은 어떻게 사이버 위협으로부터 안전을 유지할 수 있을까요?

조직은 공격 발생을 막기 위해 많은 리소스를 투자하는 것을 중단하고 그 대신 영향을 관리하는 데 투자해야 합니다. 즉, 공격이 발생할 수 있음을 인정하고 침해 차단을 통해 그 영향을 완화해야 합니다.

사이버 복원력 향상을 위한 최고의 보안 모델 중 하나는 제로 트러스트입니다. 이 전략은 "절대 신뢰하지 말고 항상 확인하라"는 원칙에 따라 사용자가 적절한 자격 증명을 가지고 있다고 해서 자동으로 파일과 애플리케이션에 액세스할 수 있는 권한을 부여하지 않습니다.

일반적으로 제로 트러스트는 세 가지 기둥으로 구성됩니다: 제로 트러스트 네트워크 액세스(ZTNA), 제로 트러스트 데이터 보안(ZTDS), 제로 트러스트 세분화(ZTS)입니다. 후자는 네트워크를 여러 개의 봉인된 섹션으로 나누고 영역 간 이동에 제로 트러스트 원칙을 적용하여 침해를 차단하는 데 매우 중요합니다.

ESG(Enterprise Strategy Group) 의 연구에 따르면 제로 트러스트 전략을 채택한 조직은 매년 평균 5건의 사이버 재해를 방지하고 애플리케이션 다운타임을 평균 2천만 달러 절감하는 것으로 나타났습니다. 비숍 폭스가 실시한 공격 에뮬레이션에 따르면 Illumio ZTS는 엔드포인트 탐지 및 대응(EDR)만 사용하는 것보다 4배 빠른 10분 이내에 공격자를 무력화시킬 수 있는 것으로 나타났습니다.

의료 업계가 공격을 예방하는 것이 아니라 격리하는 방향으로 사고방식을 전환해야 하는 이유는 무엇일까요?

최근 몇 년 동안 공격 동기가 데이터 탈취에 초점을 맞추던 것에서 가용성에 영향을 미치는 것으로 크게 변화하고 있습니다. 이는 사이버 보안이 더 이상 단순한 보안 문제가 아니라 운영 중단 시간 연장, 재정 및 평판 손상, 의료 분야의 경우 잠재적 인명 손실 등의 영향을 미치는 운영상의 문제라는 것을 의미합니다.

이제 공격은 방어 시스템이 탐지하기 전에 중요한 시스템과 데이터에 도달할 수 있기를 기대하는 위협 행위자들이 최대한의 혼란을 야기하는 데 초점을 맞추고 있습니다. 공격의 수 또한 증가하고 있으며 사이버 범죄자들은 목표를 달성하기 위해 점점 더 정교한 전술을 사용하고 있습니다. 이는 예방만으로는 더 이상 실행 가능한 전략이 아니라는 의미입니다.

네트워크가 아무리 보안이 잘 되어 있어도 침해는 피할 수 없습니다. 이를 "위반 가정" 사고방식이라고 합니다. 이는 보안 전문가가 취하기에는 매우 패배주의적인 태도처럼 보일 수 있지만, 이러한 사고방식이야말로 보안 침해가 심각한 재앙으로 이어지는 것을 막을 수 있는 방법입니다. 조직이 공격자가 방어 체계를 뚫을 것이라는 사실을 인정하면 위협을 억제하고 영향을 최소화하기 위한 조치를 취할 수 있습니다.

규모와 예산에 관계없이 모든 의료 기관이 보안 태세를 즉시 강화하기 위해 취할 수 있는 조치에 대해 알려주세요.

조직이 취해야 할 첫 번째 단계는 모든 시스템의 커뮤니케이션을 매핑하는 것입니다. 공격자가 조직에 침투하면 가장 가치가 높은 자산으로 이동하려고 시도합니다. 이는 환자 데이터 또는 의료 기기일 수 있습니다. 조직은 어떤 시스템이 통신할 수 있는지, 어떤 제한 조치를 취할지 알려야 하는지 파악해야 합니다.

다음으로, 조직은 이 지식을 사용하여 자산이나 애플리케이션이 직면한 위험을 식별하고 정량화해야 합니다. 이는 각 시스템의 취약성과 다른 시스템 및 장치에 연결할 때 직면하는 노출을 기반으로 할 수 있습니다.

마지막 단계는 최소 권한에 기반한 제어를 적용하여 리소스 간의 액세스를 관리하고 제한하는 것입니다. 무단 통신을 차단하면 공격을 단일 위치에서 억제하고 공격자가 중요한 자산과 서비스에 도달하지 못하게 할 수 있습니다. 이 접근 방식은 의료 기기, 데이터 센터, 클라우드 및 엔드포인트에도 동일하게 적용됩니다.

이러한 단계를 따르면 의료 인프라 침해에 대한 내성을 확보하고 공격을 받는 동안에도 서비스를 중단하거나 환자를 이동시킬 필요 없이 서비스를 유지할 수 있습니다.

지금 HIMSS 2023에 등록하고 2678번 부스에서 Illumio를 만나보세요.

Illumio ZTS가 의료 기관의 보안을 유지하는 데 어떻게 도움이 되는지 자세히 알아보세요.

무료 데모와 상담을 원하시면 지금 바로 문의하세요.