전자 환자 기록(ePA)이 출시를 앞두고 있지만 여전히 보안 결함이 존재합니다. 해커 회의 38C3에서 두 명의 IT 보안 전문가가 공격자가 모든 ePA에 접근할 수 있는 방법을 시연했습니다. Gematik이 운영하는 ePA 인프라는 오랜 보안 취약점을 가지고 있습니다. 이전 해커 회의인 36C3에서는 무단 건강 카드가 얼마나 쉽게 획득될 수 있는지를 보여주었으며, 이를 통해 자택 컴퓨터에서 외부 건강 데이터에 접근할 수 있었습니다. 의료 기관의 IT 인프라에서의 취약점 또한 환자 건강 데이터에 접근할 수 있는 다양한 방법을 제공했습니다.
비앙카 카슬(Bianca Kastl)과 마르틴 치르시히(Martin Tschirsich)는 ePA가 출시를 앞두고 있지만 여전히 보안 구멍이 존재한다고 밝혔습니다. 2024년 12월 중순 기준으로, 환자 데이터에 접근할 수 있는 의료 기관의 신분증을 여전히 획득할 수 있었으며, 이는 각 의료 기관당 1,000명 이상의 개인에게 영향을 미칠 수 있습니다. 이 공격은 복잡하지 않으며, 몇 시간의 노력만으로도 가능하다고 합니다. 더 복잡한 것은 ePA 인프라의 신원 확인 과정에서의 취약점을 악용하는 것으로, 이는 공격자에게 시스템에 대한 무제한 접근을 허용할 수 있습니다. 이러한 공격은 약 한 달 정도 걸릴 수 있지만, ePA가 모든 사람에게 배포될 경우 최대 7천만 명의 피보험자에게 영향을 미칠 수 있는 광범위한 범위를 가집니다.
ePA에 대한 접근은 일반적으로 앱이나 건강 카드를 통해 이루어지며, 피보험자는 자신의 디지털 건강 정보를 조회하고 관리할 수 있습니다. ePA는 법정 보험에 가입한 사람들을 위한 옵트아웃(opt-out) 시스템으로, 명시적으로 거부하지 않는 한 모든 사람이 포함됩니다. 카슬과 치르시히가 시연한 취약점은 특히 우려스럽습니다. ePA는 환자의 전체 의료 기록, 처방전, 검사 결과, 의료 서신 및 청구 데이터를 포함하도록 설계되었기 때문입니다. ePA는 2025년 초에 출시될 예정이며, 초기에는 선택된 의사들과 함께 테스트 지역에서 시작되고, 연중 더 많은 기능이 추가될 예정입니다.
ePA 인프라의 운영자인 Gematik은 상황을 축소하려고 시도했으며, 카슬과 치르시히가 제시한 공격 시나리오의 실행 가능성을 인정했지만, 실제 실행은 너무 복잡하다고 주장했습니다. 카오스 컴퓨터 클럽(Chaos Computer Club, CCC)은 환자 기록에 대한 원격 접근이 건강 시설의 잘못 구성된 IT와 서비스 제공자의 접근을 통해 이루어졌다고 언급하며 ePA 실험의 중단을 촉구했습니다. 피보험자가 시스템을 신뢰하기 위해서는 적절한 보안이 보장되어야 하며, 이는 보안 위험에 대한 독립적이고 강력한 평가, 영향을 받는 당사자에게 위험을 투명하게 전달하는 것, 그리고 전체 생애 주기 동안의 개방적인 개발 프로세스를 필요로 합니다. 신뢰할 수 있는 디지털 인프라는 개발 프로세스 자체가 신뢰를 조성할 때만 등장할 수 있습니다.
* 이 글은
computerbase.de의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.