문의하기

Industry Issue

퍼징 테스트와 의료 기기

Business Guide
작성자
관리자
작성일
2024-03-11 13:23
조회
82

퍼징 테스트와 의료 기기

 

조직이 의료 기기 및 IoT에 대한 사이버 보안을 계속 강조한다면 퍼징 테스트의 도입을 고려해보세요.

의료 기기의 사이버 보안은 의료 및 IoT 분야 모두에서 뜨거운 주제가 되었으며 정부에서도 주목하기 시작했습니다. 작년에 미국 식품의약국(FDA)은 ‘Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions’ 표준을 발표했습니다. 이 표준은 의료 기기 제조업체가 소프트웨어 개발 수명 주기 동안 잠재적인 보안 문제를 식별하고 해결하기 위해 퍼징 테스트를 사용할 것을 요구하는 내용입니다.

퍼징 테스트란 무엇입니까?

퍼징 테스트는 취약점, 충돌 또는 기타 예기치 않은 동작을 발견하기 위해 대상에 무작위 또는 유효하지 않은 데이터 입력을 제공하는 자동화된 소프트웨어/프로토콜 테스트 기술입니다. 기존의 테스트 방법으로는 쉽게 감지할 수 없는 소프트웨어 결함 및 보안 취약점을 발견하는 것을 목표로 합니다. 데이터 입력은 예상 입력 구조에서 벗어나는 잘못된 형식, 변형 또는 임의로 생성된 데이터일 수 있습니다. 그런 다음 퍼저는 도구를 사용하여 충돌, 정지, 메모리 누수 또는 잘못된 출력과 같은 프로그램의 이상 반응을 찾습니다.

퍼징 테스트의 계측(instrumentation)은 퍼징 프로세스 중에 추가 정보를 수집하기 위해 테스트 중인 대상 소프트웨어 또는 시스템을 모니터링하는 프로세스를 의미합니다. 대상이 여전히 정상 상태인지 확인하기 위해 알려진 양호한 통신 ‘ping’을 사용하는 것처럼 간단하거나 대상 장치에 연결된 에이전트 또는 디버거로 코드를 모니터링하는 것처럼 복잡할 수 있습니다. (그림 1 참조)

퍼징 테스트

[그림 1] 퍼징 테스트

새로운 표준을 준수하는 방법

새로운 지침을 준수하기 위해 의료 기기 제조업체는 위험 관리 계획에 퍼징 테스트 솔루션을 테스트 절차로 추가해야 합니다. 이러한 프로그램을 성공적으로 추가하려면 다음 단계를 따라야 합니다.


  • 공격 표면 식별 공격자가 의료 기기의 보안을 손상시키기 위해 악용할 수 있는 모든 잠재적 진입점을 문서화하세요. 여기에는 소프트웨어와 펌웨어 구성 요소의 분석 그리고 통신 프로토콜과 기타 잠재적인 공격 벡터 분석이 포함됩니다.
  • 적절한 퍼징 테스트 도구 및 기술 선택 의료 기기 및 해당 소프트웨어/펌웨어 구성 요소에 가장 적합한 퍼징 테스트 도구 및 기술을 선택하세요. 산업에서 사용할 수 있는 상용 오픈 소스 도구를 모두 살펴보세요.
  • 테스트 케이스 개발 예상 데이터와 예상치 못한 데이터를 모두 포함하여 광범위한 입력을 포함하는 포괄적이고 다양하며 반복 가능한 일련의 테스트 케이스를 생성합니다. 이러한 테스트 케이스는 다양한 공격 시나리오와 잠재적인 취약점을 시뮬레이션하는 것을 목표로 해야 합니다.
  • 퍼징 테스트 실행 퍼징 테스트를 수행하고 계측을 통한 테스트를 하는 동안 장치의 동작을 모니터링합니다. 통신 ‘ping’은 테스트할 때 장치가 충돌하지 않았는지 확인합니다.
  • 결과 분석 퍼징 테스트 결과를 주의 깊게 검토하여 발견되지 않은 취약점이나 보안 약점을 식별하세요. 심각도와 잠재적 영향에 따라 식별된 문제의 우선 순위를 지정합니다.
  • 식별된 취약점 해결 식별된 취약점을 해결하고 수정하기 위한 계획을 발전시킵니다. 여기에는 의료 기기의 소프트웨어/펌웨어에 대한 패치, 업데이트 또는 변경 구현이 포함될 수 있습니다. 취약점 관리를 위해 확립된 모범 사례를 따르고 적절한 보안 제어가 구현되었는지 확인하세요.
  • 퍼징 테스트 프로세스 문서화 사용한 도구, 실행한 테스트 케이스와 그로부터 얻어진 결과, 확인된 취약점을 해결하기 위해 취한 조치를 포함하여 수행한 퍼징 테스트 프로세스를 기록합니다. 이 문서는 규제 감사 또는 검사 중에 규정 준수의 증거로 사용됩니다.

퍼징이 포착할 수 있는 취약점

새로운 FDA 표준은 의료 기기 분야에 퍼징이 다른 시스템에서 발견한 일부 취약점을 발견하고 해결할 수 있는 기회를 제공합니다. 예를 들어 2019년에는 의료 장비, 산업 제어 시스템, IoT 장치를 포함한 임베디드 장치에 널리 사용되는 VxWorks라는 실시간 운영 체제에서 Urgent11이라는 새로운 사이버 보안 취약점이 발견되었습니다. Urgent11 취약점은 원격 공격자가 취약한 장치에 대한 무단 액세스 권한을 얻고 잠재적으로 임의 코드를 실행하거나 악의적인 공격을 실행합니다. 이 결함은 VxWorks의 일부이며 버전 6.5 및 이전 버전에 영향을 미치는 TCP/IP 네트워킹 스택에서 비롯됩니다.

이러한 유형의 취약점은 특별히 제작된 패킷을 대상 장치로 전송하여 버퍼 오버플로우(buffer overflow) 또는 기타 메모리 손상 문제를 유발하는 것으로 악용될 수 있습니다. 한 번 악용되면 공격자는 잠재적으로 영향을 받는 장치를 제어할 수 있으므로 원격 코드 실행, 데이터 도난, 시스템 중단 또는 연결된 네트워크 손상과 같은 심각한 결과를 초래할 수 있습니다. 중요한 소프트웨어 출시에서 퍼징 테스트를 사용하면 포착하기 어려운 특정 취약점을 제거하고 제로데이 취약점을 방지하는 데에 도움을 줄 수 있습니다. Urgent11은 IoT 및 임베디드 장치의 맥락에서 시기적절한 보안 업데이트, 취약점 관리 및 위험 평가 중요성에 대한 인식을 높였습니다.

결론

의료 기기에서 퍼징 테스트 사용을 강조하는 FDA의 새로운 규정 도입은 IoT 및 의료 공간에서 사이버 보안의 중요성이 커지고 있음을 강조합니다. 퍼징 테스트를 구현하고 새로운 표준을 준수하면 의료 기기의 사이버 보안 대응태세를 크게 향상시킬 수 있습니다. 제조업체는 취약점을 사전에 식별하고 완화함으로써 무단 액세스, 데이터 위반, 시스템 중단 및 기타 잠재적 위협의 위험을 최소화할 수 있습니다.

 

의료기기 Business Guide 더 알아보기 CLICK!!!​

원문 게시일: 2023.06.02

원문 기고자: John McShane

출처: https://www.synopsys.com/blogs/software-security/fuzz-testing-and-medical-devices.html

« 커넥티트 및 자율주행 차량을 위한 퍼징 테스트
FDA: 커넥티드 의료기기에 대한 SBOM 요구 사항 »
목록보기
Powered by KBoard
/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#