38C3에서 보안 연구자들이 전자 환자 기록(ePA)에 저장된 건강 데이터에 해커들이 접근할 수 있다는 사실을 발표했습니다. 운영사인 Gematik은 개선을 약속했지만, 연구자들은 일부 솔루션을 '보안 극장'으로 지적하며 시스템을 다시 침투하는 데 성공했습니다. 비앙카 카슬(Bianca Kastl)과 마르틴 치르시히(Martin Tschirsich)는 스피겔(Spiegel)에서 취약점을 시연했습니다.
ePA 인프라의 신원 확인 과정에는 중대한 약점이 존재합니다. 카슬과 치르시히가 보여준 바와 같이, 공격자가 의사 사무소와 같은 서비스 제공자의 신원을 확보할 수 있다면 모든 ePA에 접근할 수 있습니다. 이는 전자 환자 기록을 사용하는 모든 피보험자에게 최대 7천만 명이 영향을 받을 수 있습니다.
Gematik은 취약점의 존재를 인정했지만, 실제로 악용될 가능성은 '그리 높지 않다'고 판단하며 여러 조건이 충족되어야 한다고 밝혔습니다. 그럼에도 불구하고, 이들은 취약점을 해결할 계획을 발표했습니다. 건강부 장관 칼 라우터바흐(Karl Lauterbach)는 모든 해커 공격, 특히 CCC의 공격이 기술적으로 불가능해질 때까지 ePA를 출시하지 않겠다고 밝혔습니다.
보안 격차를 해소하기 위한 업데이트에도 불구하고, 연구자들은 이러한 조치의 효과를 비판했습니다. 그들은 새로운 보안 예방 조치에서 악용 가능한 약점을 발견했으며, 그 중 하나의 핵심 메커니즘은 '효과가 입증되지 않았다'고 지적했습니다. 치르시히는 현재 ePA가 BSI에서 설정한 보안 요구 사항을 충족하지 못한다고 언급했습니다. BSI의 Cert Bund는 보안 문제에 대해 통보받았습니다.
공격으로 인한 피해를 완화하기 위해 Gematik은 건강 시설의 규모에 따라 접근 요청 수를 제한했습니다. 예를 들어, 병원은 월 최대 20만 개의 권한을 요청할 수 있으며, 작은 치과 진료소는 1만 개로 제한됩니다. ePA에 접근하기 위해서는 여러 조치가 필요하며, 여기에는 텔레매틱스 인프라와의 연결, 환자의 건강 카드 번호, 보험 번호, 해시 체크 값(hcv)이 포함됩니다.
카슬과 치르시히는 환자가 건강 카드를 잊어버렸을 때 사용할 수 있는 전자 대체 증명서를 통해 데이터에 접근할 수 있음을 시연했습니다. 그들은 이러한 쿼리를 자동화하는 작은 프로그램을 개발했으며, 이는 기자의 데이터와 원활하게 작동했습니다. 카슬은 이를 '실질적인 IT 보안이 아닌 복잡한 형태의 보안 극장에 불과하다'고 비판했습니다. 이후 Gematik은 전자 대체 증명서를 비활성화했습니다.
CCC는 '임시방편적인 수정'이 아닌 지속 가능한 해결책을 요구하고 있습니다. ePA에 접근하는 데 여전히 장애물이 있지만, 모든 피보험자가 해킹의 피해자가 될 것이라고 기대할 만큼 보안이 형편없지는 않다고 합니다. 그러나 현재 시스템의 복잡성은 보안을 개선하지 않는다고 CCC 대변인 리누스 노이만(Linus Neumann)은 말했습니다. 공격 및 텔레매틱스 인프라에 대한 추가 세부 사항은 스피겔 보고서와 카슬 및 치르시히의 38C3 발표에서 확인할 수 있습니다.
* 이 글은
computerbase.de의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.