유럽연합 집행위원회는 사이버 위협으로부터 의료 기관을 보호하기 위해 EU의 사이버 보안 기관인 ENISA와 함께 전담 센터를 설립하는 것을 포함하여 EU의 의료 부문을 보호하기 위한 EU 차원의 실행 계획을 제시했습니다.
올리버 바헬리(Oliver Varhelyi) 보건국장과 우르줄라 폰 데어 라이엔(Ursula von der Leyen) 보건위원회 위원장이 두 번째 임기 후 100일 이내에 이 문제를 해결하겠다고 약속한 것에 따르면 유럽 병원 중 두 곳 중 한 곳이 사이버 공격의 피해자가 되면서 압박이 가해졌습니다.
수요일에 발표된 이 계획은 보건 부문에 영향을 미치는 다양한 사이버 문제를 해결하기를 희망합니다. 이러한 문제 중 상당수는 몸값을 지불할 가능성이 높기 때문에 더욱 복잡해집니다. 그렇게 하지 않으면 문자 그대로 생사가 걸린 상황이 될 수 있기 때문입니다.
이 계획은 유럽 연합 사이버 보안청(ENISA) 내에 사이버 보안 지원 센터를 설립하고 조직에 맞춤형 기본 사이버 보안 지원을 제공함으로써 상황을 해결하는 데 도움이 됩니다.
또한 의료 전문가를 위한 사이버 보안 학습 리소스를 생성하고, 2026년까지 위협이 감지되면 EU 전역에 경고 서비스를 개발할 것입니다.
새로운 계획은 ENISA 구현에 더 많은 압력을 가하고 있지만 새로운 자금 조달은 예상되지 않습니다.
또한 실행 계획은 CSA(사이버 연대법)의 EU 사이버 보안 준비금에 따라 의료 관련 대응 서비스를 구축하는 것을 목표로 합니다. 이 예비금은 기술 지원, 조정 및 재정 자원을 제공하여 EU 국가가 대규모 사이버 사고에 대응하도록 지원합니다.
또한 위원회는 외교 성명 및 제재를 위한 EU 조정 메커니즘인 사이버 외교 도구 상자(Cyber Diplomacy Toolbox)를 사용하여 유해한 사이버 활동을 억제하여 의료 부문에 도움이 될 계획입니다.
돈과 관련하여 위원회는 EU 국가들에게 재정적으로 기여할 것을 요청하고 중소기업에 자금을 지원해 온 “혁신 바우처”와 유사하게 소규모 의료 기관의 사이버 보안에 대한 지출 증가를 지원하기 위해 “사이버 보안 바우처”의 개발을 권장합니다.
위원회는 또한 국가들이 의료 기관에 몸값 지불을 보고하도록 요구하도록 장려했지만, 이는 국가 정부가 종종 공공 기관에 몸값을 지불하지 말라고 지시하는 반면 많은 기관에서는 시스템에 대한 통제권을 되찾기 때문에 이는 복잡한 문제입니다. 몸값을 지불하면 신고할 가능성도 낮아집니다.
의료는 중요하고 핵심적인 기관에 대한 사이버 보안 및 사이버 보고에 대한 표준을 설정하는 NIS2 지침을 포함하여 EU 사이버 규정의 구속을 받지만 대부분의 EU 회원국에서는 늦게 변경되고 있습니다.
의료 부문은 소프트웨어 구성 요소를 포함한 제품을 보호하는 EU의 사이버 보안 규정인 CRA(사이버 복원력법)의 영향을 받습니다.
위원회는 실행 계획에 대한 공개 협의를 시작할 예정이며, 이를 통해 2025년 말까지 구속력 없는 권고안이 나올 예정입니다.
사이버범죄자들의 주요 표적
의료는 위험성이 높은 역학으로 인해 가장 표적이 되는 산업 중 하나입니다.
최신 ENISA 데이터에 따르면, 2021년 1월부터 2023년 3월까지 의료 부문을 표적으로 삼은 공격 중 거의 54%가 랜섬웨어였으며, 병원은 42%를 표적으로 삼았습니다.
의료 기관은 일반적으로 다른 산업에 비해 사이버 성숙도가 낮으며, 경영진은 IT 시스템 및 사이버 보호보다 의료 도구에 대한 투자를 우선시하는 경우가 많습니다. 또한 민간 부문이 일반적으로 더 매력적인 기회를 제공하기 때문에 사이버 보안 전문가를 고용하는 것도 업계의 어려운 과제입니다.
실행 계획은 위원회의 기술 주권 담당 부사장인 Henna Virkkunen과 Várhelyi가 발표했습니다.
Virkkunen은 “사이버 위협을 탐지하고 신속하게 대응하고 복구할 수 있는 모든 것을 갖추어야 합니다.”라고 말했습니다.
