의료기기 사이버보안

1일차 의료기기 사이버보안 사고 사례

의료기기 보안 취약 요인

보안이 고려되지 않은 설계

• 오래된 SW, 보안 패치/업데이트 한계, 고가장비로 인한 변경 어려움

엔터프라이즈 보안 솔루션 적용의 한계

• SW 변경 불가, 의료기기는 고가용성이 최우선, 고유 프로토콜 사용

무선네트워크 연결 의료기기 급증

• 원격 서비스 증가

 

의료기기 보안 취약성

공급망 위험요소, 인증우회, 권한 상승, 하이재킹, 스푸핑, BOF, 백도어 etc…

 

의료기기법 (2003 제정)

약사법에 관리되고 있어 국세변화에 따라 의료기기 법을 제정함.

한국을 ~4등급까지, 미국은 ~3등급까지

의료기기법

• 체외진단의료기기법 → 체외진단의료기기 품목 및 품목별 등급에 관한 규정
• 의료기기산업 육성 및 혁신의료기기 지원법
• 디지털 의료제품법 2024제정, 2025 시행

 

제도 정비 (saMD)

2018 의료기기법 제정되면서 SW가 포함됨

OLD 기구, 기계, 장치, 재료 → NEW 기구, 기계, 장치, 재료, 소프트웨어

의료기기 소프트웨어 (Software as a Medical Device) = saMD

HW에 종속된 SiMD (Software in a Medical Device)는 saMD와는 다름, saMD는 독립형 소프트웨어로 하드웨어 장치의 일부가 아님

 

의료기기SW제조기업 인증

FDA Pre-Cert Level

 

의료기기 사이버보안 사고 사례

블루투스를 해킹하여 페어링 오류을 만드는 공격방법 사용 → 블루투스느 페어링 과정에 따로 인증을 받지 않음으로 굉장히 취약함

배터리 저장공간 → 비휘발성 메모리로 구성되어 있는데 여기에는 연결된 와이파이 네트워크 접근정보가 저장됨. 따라서 공격자는 네트워크 정보를 복사할 수의료 있음

 

사이버보안 대응

[유럽] 의료기기 규정(MDR) 745/2017, 사이버보안 요구사항도 포함

사이버보안 요구사항은 MDCG 2019-16 의료기기 사이버보안 지침에 설명되어 있음

MDCG-2021-5에 의하면 EU는 24년 5월부터 IEC 81001-5-1 & IEC TR 60601-4-5를 채택

[국내]

2019 의료기기 사이버보안 허가 심사 가이드라인 발표 → 네트워크에 연결된 의료기기에 사이버보안 적용을 요구

2022 IMDRF 사이버보안 가이드라인을 국내환경에 맞게 개정

2023 안정성 입증에 필요한 제출자료와 허가신청서 기재방법을 명확히 안내하기위해 개정 (📌생명주기가 포인트)

---

의료기기 위협 및 취약점 분석

정보보안 위협 평가

취약점 or 위협 → 발생가능성 X 영향도 = 위험 [회피, 전가, 완화, 수용]

의료기기에서는 영향도 (impact) 보다 안전 (safety) 를 우선적으로 확인

Risk Management: 14971, 27005, 31001

 

일반적인 아키텍처 기반 보안 위협

보안패치 취약점, 백신 설치 X, 내부자 공격, 취약한 인증(권한상승) etc.

Offensive AI Capabilities

사이버 공격자가 AI 기술을 활용하여 사이버공격 강화

---

2일차 - 4월 18일 양성욱 강사님

의료기관 내부 EMR (의료정부시스템) → 내부DB

망분리 → 요즘 백신으로는 해킹 못 막음…. 아쉽띠니

 

리눅스 압축 유틸리티 XZ → 내부 라이브러리 악성코드 취약점이 발견됨

xz --version해서 5.6.0 ~5.6.1 이면 → brew install xz 로 다운그래이드

요즘은 RF 통신을 사용 → 브로드캐스팅을 통한 정보를 다 수집할 수 있음

병원은 다 MAC 인증을 사용

서비스거부공격 → 의료기기와 gateway 사이 통신을 mac주소로 통신하는데 ARP주소를 바꿔버리는 공격을 사용

 

의료기기 보안 위협

• 공급망 취약점
  • 의료기기 펌웨어 공격
  • 모바일앱 변조
  • 제조과정 소스코드 변조
  • 내부 위협
  • 웹사이트, 포탈 사이트 변조
  • 이메일 스피어피싱공격
  • Third-party 벤더

실습

localhost:8000/simulated-hospital/입력하고

 

환자 기준을 100으로 증가 → aki_scenario_1를 복사하고 run을 클릭

 

로그 업데이트가 되는 것을 확인

apt install docker
systemctl start docker
systemctl enable docker
docker run --rm -it -p 8000:8000 eu.gcr.io/simhospital-images/simhospital:latest health/simulator

 

---

3일차 - 4월 19일 MITRE ATT&CK for Healthcare

거버넌스 쪽 → 컨설팅 쪽 이야기

 

미국 4대보안 기업

MITRE: 사이버보안 문제 연구

NIST: 사이버보안 표준 제정

• SP 800-53 컴퓨터 보안 시리즈
• SP 1800-XXX 사이버보안 사례 지침

CERT: 사이버보안 보안 이론 연구

CISA: 사이버 보안 방어 실행

 

우리나라 보안

KISA → 여기가 거의 다함

국정원

 

사이버킬체인

공격자가 어떻게 작업하고 단계는 무엇인가 설명

외부정찰 → 침해된 기계 → 내부정찰 → 로컬 권한 상승 → 인증서 침해 → 관리자 정찰 → 원격 코드 실행

 

공격자 TTP

전술: 공격자의 기술적 목표

기술: 목적을 달성하는 방법

절차: 공격자의 특정 기술 구현

 

MITRE 관련 프로젝트: CREF Navigator

NIST CREF: 예상, 유지, 복구, 적응

• NIST SP 800-160의 복잡한 개념과 관계를 아키텍처적/공학적 분석을 활성화하는 사이버 회복력 용어

NIST CSF: 식별, 보호, 탐지, 대응, 복구

CERT-RMM(Resilience Management Model)

• 운영 회복력을 관리하고 개선시키는 프레임워크
• 조직이 더 회복력을 가지게 만드는 광범위한 슈퍼-세트 지침
• engineering, Enterprise Management, Operation Management, Process Management 총 4개의 영역으로 융합

 

MITRE 관련 프로젝트 총 정리

**MITRE ATT&CK: 공격자 전술/기술/절차**

↔ CAPEC: 공격패턴 ↔ CWE: 공통 취약점 분석 ↔ CVE: 공통 취약점 공개 ➡CPE: 공통 플랫폼 분류

➡ CASCADE: 공격자 헌팅

➡CAR: 공격자 보고서

➡STIX: 메시지 서식

➡MAEC: 멀웨어

➡CALDERA: 공격자 모방

➡Engage: 공격자 유인

➡D3FEND: 공격 아티팩트 기반 방어

➡Navigator: 공격자 분석

➡CREF Navigator: 사이버 회복력 공학 프레임워크

 

[실습] ATT&Ck navigator : APT37 & admin@338 공격 그룹의 공통 기술 분석

https://attack.mitre.org/matrices/enterprise/ 접속 후

 

layer를 APT37로 변경 후 → 돋보기 모양에서 threat group에서 APT37을 선택 → chat 표시를 눌러서 score를 1로 설정

+ 표시를 누르고 layer 이름을 admin@338로 변경 → 돋보기 모양에서 threat group에서 admin@338을 선택 → chat 표시를 눌러서 score를 1로 설정

새로운 레이어 만들기 from Other Layers → domain을 Enterprise ATT&CK v14로 변경 → expression을 a (APT37) + b (admin@338) 해서 create layer 버튼 클릭

 

그럼 APT37 공격과 admin338 공격 기술에서 공통적인 부분이 (2) 스코어 2로 빨간색으로 뜸 ㄷㄷ

그 부분을 클릭해서 view tech를 보면 기술의 설명을 볼 수 있음 (https://attack.mitre.org/techniques/T1203/)

total.xlsx

0.01MB

 

 

[실습] DHS CISA CSET for Healthcare

DHS CISA CSET 다운 site: https://github.com/cisagov/cset/releases → CSETStandAlone.exe 다운

Network Diagram 클릭

---

무사히 수료증을 받았따!