모바일 의료용 앱을 보호하는 방법 (Use Case)

심박 조율기를 이식한 환자 보호

세계적인 팬데믹으로 인해 의료기기가 활용되는 방법과 환자와 의료인 사이에 데이터가 공유되는 방식이 변화하고 있습니다. 안타깝게도 오늘날의 모바일 세상에서 우리는 예상치 못한 위협을 일으키기도 하는 엄청난 발전을 목격하고 있습니다. 이러한 위협을 강조하는 이유는 2021년 5월 12일에 발행된 미연방 정부의 사이버 보안 개선에 관한 대통령의 최근 행정 명령과 2021년 5월 26일 FDA와 장치 및 방사선 건강 센터에서 제출한 후속 의견 때문입니다. FDA의 행정 명령 및 후속 의견은 Billy Rios와 Jonathan Butts 박사의 "이식형 심장 장치 생태계 아키텍처 및 구현 상호 의존성에 대한 보안 평가"라는 제목의 연구 자료를 강조하며 8,000개 이상의 알려진 취약점이 심박 조율기와 기반 인프라에 영향을 미칠 수 있다는 사실을 공개했습니다.

 

의료기기 제조업체는 환자를 보호하고 브랜드와 재정을 보호하기 위해 위협에 대처해야 합니다. 종종 간과되는 공격 경로로는 의료기기와 상호 작용하는 모바일 앱이 있습니다. 이러한 위협에 대응하고자 FDA는 2019년 12월 27일 의료기기의 사이버 취약성을 해결하는 최종 지침을 발표하여 제조업체가 심장 조율기 및 인슐린 펌프와 같은 인터넷으로 연결된 기기를 보호하는 방법을 간략하게 설명했습니다. 이 지침은 FDA가 St.Jude Medical의 '심장 장치가 환자를 위험에 빠뜨릴 수 있는 공격에 취약하다'는 주장을 조사하면서 공개되었습니다. 이는 Abbot Laboratories의 이식형 의료 전자기기에서 발견된 취약성에 초점을 맞춘 2017 FDA 보안 권고의 후속 조치입니다. 이 조치로 심장 조율기에 영향을 미치는 약 50만 개의 펌웨어 업데이트가 이루어졌습니다.

 

세계 최대 의료기기 제조업체의 한 사용자는 리버스 엔지니어링으로 인한 모바일 기반 기술에 미치는 위협을 인식하고 환자의 안전을 보장하기 위해 적절한 조치를 취해줄 것을 요구했습니다. 이 업체는 우선 위험 분석 후, 환자 안전에 관한 불미스러운 이슈에 얽히기 전에 조치를 취하기로 결정했습니다. 모바일 앱을 통해 의료인과 데이터 및 치료 프로토콜을 주고받을 예정이었던 새로운 심장 조율기 앱을 보호해야 할 필요성이 명확해졌습니다.

 

그들은 먼저 Class III 의료기기에 연결하는 모든 앱부터 시작하여 고위험 의료 애플리케이션의 보안을 강화하는 전략에 착수했습니다. 광범위한 공급업체를 검토한 결과, 우수한 앱 보호 기술과 ISO 품질 인증으로 검증된 Digital.ai(구 Arxan)가 애플리케이션 보호 파트너로 선정되었습니다.

 

 

애플리케이션과 상호 작용하는 의료기기는 기존의 경계 방어를 통해 액세스를 해야 하기 때문에

공격자들에 의해 잠재적인 공격 경로로 활용될 수 있습니다.

 

 

 

문제점

의사는 언제 어디에서나 의료기기가 전송하는 환자 데이터를 안전하게 확인하고 모니터링을 할 수 있어야 했습니다. 또한 환자 데이터를 분석한 후, 의사는 모바일 앱을 통해 적절한 치료법을 제공할 수 있어야 했습니다. 그러나 이 의료기기 업체는 공격자가 모바일 앱을 리버스 엔지니어링 하여 환자를 위험에 빠트릴 수도 있을 알려지지 않은 보안 위협에 노출되어 있다는 사실을 깨달았습니다.

 

 

해결책

민감 정보나 환자 정보 등 가능한 안전이 손상되는 것을 방지하기 위해 애플리케이션이 리버스 엔지니어링 되지 않도록 보호했습니다. Digital.ai Application Protection은 의료기기 앱을 보호하기 위해 두 가지의 접근 방식을 제공합니다.

 

하나는 소프트웨어 개발 수명 주기(SDLC)의 중단을 최소화하면서 개발 후 바이너리 수준에서 애플리케이션 코드를 보호하는 것입니다. 이 보호 기능을 애플리케이션의 바이너리 코드에 삽입되어 앱을 강화하고 변조를 방지하며 런타임 공격으로부터 보호합니다. 이러한 기술은 애플리케이션을 분해하여 독점 코드를 노출하는 것을 차단합니다.

 

다른 하나는 난독화 및 암호화를 통해 모바일 앱과 서버 간의 보안 통신에 사용되는 키와 중요한 애플리케이션 데이터를 보호하는 Digital.ai 키 및 데이터 보호 기능입니다. 또한 Digital.ai protection에는 진행 중인 공격을 알리고 공격 유형 및 위치를 보고하는 기능이 있습니다. 이후, 공격 결과 데이터를 통해 새로운 버전의 애플리케이션에 통합할 대응책을 개발할 수 있으므로 광범위한 공격이 시작되기 전에 위협을 방어할 수 있습니다.

 

업체는 모바일 기기와 연결하는 모든 Class III / high-risk Medical Devices를 강화하는 것이 필수적이라고 생각했습니다.

 

 

결과

의료기기 제조업체는 Digital.ai Application Protection을 모니터링 앱과 통합하여 비즈니스와 환자의 위험을 최소화했습니다. 최소한의 노력으로 심장 조율기 모바일 앱의 빌드 주기에 보호 기능을 추가하여 환자의 안전과 데이터를 보호할 수 있게 되었습니다.

 

후속 보안 프로젝트로 이 업체는 그 밖의 모든 주요 모바일 플랫폼에서 실행되는 각각 연결된 애플리케이션에 대해 동일한 보호 솔루션 및 접근 방식을 활용하고 있습니다.

 

 

인증

Digital.ai는 ISO 13485 인증을 받은 유일한 애플리케이션 보안 솔루션 공급 업체입니다. FDA QSR 21 CFR Part 820, ISO 14971 및 IEC 62304 외에도 이 인증을 받은 유일한 애플리케이션 보안 솔루션인 Digital.ai는 고객이 규정을 준수할 수 있도록 지원합니다.

 

Digital.ai가 의료기기 애플리케이션을 보호하는 방법에 대해 자세히 알아보려면 Digital.ai의 국내 총판 eNsecure의 보안 전문가와 상의하세요.

 

 

 

 

출처: Digital.ai Application Protection for connected medical devices.pdf