개요

제약 산업은 연구실, 임상 시험 및 제조 시설, 공식적 사업에 대한 접근을 제한하는 것은 보안 위험을 줄이고 긍정적인 결과를 도출하는 데 매우 중요하기 때문에 일반적으로 물리적 보안 수준이 뛰어납니다.

모바일 디바이스로 회사 데이터에 접근하고, 모바일 앱은 의사와 환자의 요구에 빠르게 대응합니다. 따라서 제약 회사들은 환자의 민감한 데이터, 약물 개발 R&D, 고부가가치 지적재산, 운영 및 법률 정보의 해킹이나 악의적인 사용을 막기 위해 모바일 보안에 신경써야 합니다. 모바일 디바이스는 사이버 범죄와 산업 스파이의 주요 위협 요소가 되었습니다.

“모바일 멀웨어는 지금까지 기업의 문제가 아니었다. 그러나 모바일 공격과 취약점이 늘자, 기업들은 모바일 보안을 강화할 수 있는 솔루션을 찾고 있다. 모바일 위협 방어 솔루션은 기기, 네트워크 및 애플리케이션 계층에서 서명 기반 검사와 행동 이상 감지를 결합한 것이다.”

2017년 가트너의 예측: 엔드포인트 및 모바일 보안, 분석가 John Girard, Dionisio Zumerle, Brian Reed, Peter Firstbrook, Bart Willemsen, 2016.11.16.

과제

독점적인 지적 재산, 환자 데이터 및 법률 문서는 해커와 산업 스파이에게 높은 잠재적 가치를 가지고 있습니다. 이 분야의 영업 비밀은 수백만 달러의 수익 창출에 영향을 줄 수 있습니다.

제약 회사의 연구원, 경영진 및 사업 담당자들은 업무와 개인 용도로 모바일 디바이스에 점점 더 의존하고 있으며, 직원들은 사무실 밖에서도 회사 데이터에 접근하여 생산성을 유지할 수 있습니다. 기업 IT 부서가 기기를 차단해도 스마트폰, 태블릿, IoT 기기, 연구소, 현장 등에 연결된 기기는 기존 방식으로는 보안을 보장할 수 없습니다.

해커들은 기기, 네트워크, 애플리케이션의 취약점과 공격으로 지적재산권을 훔치고, 독점적 생산방법론을 복사하고, 환자의 프라이버시를 훼손하며, 제약 회사에 법적 문제를 일으킵니다. 이러한 모바일 위협에는 이메일 피싱, 가짜 고객 전화, 멀웨어 다운로드 링크가 포함된 메시지 등 기존의 사이버 공격뿐만 아니라 악성 Wi-Fi 네트워크, 멀웨어 전송, 랜섬웨어, 인터넷에 연결된 모든 기기를 제어하는 등 진화한 방법이 사용됩니다.

직원의 기기 보호

회사 소유의 기기나 자신의 모바일 디바이스를 사용하는 직원은 업데이트하지 않은채 사용하거나, 알려지지 않은 링크나 사이트의 클릭으로 멀웨어를 다운로드하며 위험한 행동을 인지하지 못할 수 있습니다.

모바일 디바이스에는 일부 보안 기능이 내장되어 있지만, ‘DNA 공격’ 등 새로운 취약점이 매일 발견되고 있으며, Android 및 iOS 운영체제는 끊임없이 업데이트되고 있습니다. 또한 기업의 보안 관리에 대한 개인정보보호 정책과 규제, 그리고 기업이 직원의 기기와 데이터를 얼마나 통제할 수 있는지에 관한 법적 문서도 존재합니다.

악성 네트워크 및 스파이 기기

회사의 기업 및 실험실 네트워크를 확보하는 것으로는 새로운 형태의 네트워크 공격을 예방하기에 충분하지 않습니다. 해커들은 가짜 ‘무료 Wi-Fi’ 를 설치해 직원과 방문객을 유인한 다음, 개인 데이터를 캡처하거나 기기를 손상하거나 원격으로 기기를 제어하는 중간자(Man-in-the-middle; MITM) 공격을 할 수 있습니다.

추가로, 사물인터넷으로 분류되는 기기와 근거리 무선 통신 위치 센서, 제어 및 보안 카메라 앱, 생산 제어 및 판독기와 같은 기타 모바일 지원 기술로 분류되며 광범위한 위협 요소가 존재한다는 것을 알게됩니다. 기기가 손상되면, 네트워크의 어떤 기기도 계속해서 회사로부터 데이터를 빼낼 수 있으며, 멀웨어로 작업을 방해할 수 있습니다.

앱 보안의 필요성

약국은 환자와 의사에게 더 나은 서비스를 제공하기 위해 모바일 앱을 사용합니다. 이 앱은 처방전과 약물 주의사항 및 기타 건강 관리 도구를 제공하며, 실시간 상호 작용으로 임상 시험 정보를 쉽게 제공합니다.

앱 자체는 데이터 도난, 기기 인수 및 원치 않는 스파이웨어 간섭에 대한 공격 경로일 수 있습니다. 제약 회사가 앱을 제공하지 않더라도 해커들은 마약 브랜드 앱의 가짜 버전을 다운로드하거나 로그인하도록 유도하여 고객의 개인 건강 정보(PHI) 데이터 등을 도용할 수 있습니다.

제약 회사들은 모바일 사이버 공격이 연구, 생산 또는 환자 데이터를 손상하고, 준수 상태, 법적 투쟁, 돈, 브랜드 평판 상실을 포함한 부정적인 결과에 책임을 져야 합니다.