의료 서비스 제공 조직(HDO)은 환자의 치료 결과와 치료 품질에 중요한 역할을 하기 때문에 네트워크에 연결된 기기와 장비의 서비스 중단에 매우 민감하다. 하지만 다양한 종류의 방대한 의료 사물 인터넷(Internet of Medical Things, IoMT) 기기 제품군은 관리가 복잡하고 광범위한 공격 위험에 노출돼 있고, HDO들은 계속해서 어려움을 겪고 있다.

사물 인터넷 및 의료 사물 인터넷 위험 관리 플랫폼인 에이시밀리(Asimily)는 ‘연결된 기기의 사이버 보안 위험에 대한 총 소유 비용’에 대한 분석 보고서를 발표했다.

이 보고서에 따르면, HDO는 지난 12개월 동안 평균 43건의 공격을 당했다. 이러한 공격 중 상당수는 성공했으며, 지난해에만 HDO의 44%가 제3자에 의한 데이터 유출 침해를 겪었다.

최근 HDO 의료 기기에 영향을 미치는 주요 사이버 공격은, 기기로 확산되어 서비스를 중단시키는 랜섬웨어 공격, 기기 성능에 영향을 미치는 제3자 도입 악성코드, 원격 침해를 일으키는 알 수 없는 IP 주소와 통신하는 기기 등이 있다.

사이버 공격으로 인해 HDO는 사건당 평균 1천 10만 달러의 비용을 지출한 것으로 나타났다. 더 나쁜 것은 사이버 사고가 환자 사망률의 20% 증가에 직접적인 책임이 있다는 것이다. HDO의 64%는 사이버 사고로 인한 운영 지연을 겪고 있으며, 59%는 사이버 보안 사고로 인해 입원 기간이 길어졌다.

이러한 재정 및 운영 부담으로 인해 많은 HDO가 벼랑 끝으로 내몰리고 있다. 2023년 평균 병원 영업 마진은 1.4%다. 한 번의 사이버 공격으로 미국 시골 병원 600개 이상이 문을 닫을 위험에 처해 있는 것이다.

열악한 기기 상태는 열악한 결과로 이어진다. HDO 의료 기기는 평균 6.2개의 취약점이 있다. 게다가, 의료 기기의 40% 이상이 수명이 거의 다 되었으며 제조 업체의 지원이 제대로 되지 않고 있다.

사이버 보안 리소스와 인력은 제한되어 있다는 점도 문제다. 장비의 취약점이 파악되더라도 보안팀은 알려진 취약점의 5~20%만 매달 수정할 수 있다.

사이버 보험으로는 충분하지 않다. 최근 몇 년 동안 랜섬웨어 공격이 급증함에 따라 사이버 책임 보험사들은 보장 한도와 상한 지급액을 도입하여 그 효율성이 떨어지고 있다. 또한 사이버 보험은 사이버 사고로 인해 HDO가 겪는 값비싼 평판 손상에 대해서는 해결하지 못한다.

보고서는 전체적인 위험 기반 접근 방식을 채택하는 것이 HDO가 중요한 시스템과 IoMT 기기를 보호하는 가장 비용 효율적이고 효과적인 방법이라고 권고했다.