수많은 배포형 의료 장비에 대한 보안, 상호 운용성 및 관리 용이성은 네크워크 중심으로 변해가는 의료서비스 분야의 장애물이다. 인텔 vPro™ 기술을 구성하는 요소인 인텔 AMT(Active Management Technology, 액티브 관리 기술)이 관리 및 보안용 프레임워크가 처한 상호 운용성 문제를 해결하기 위한 길을 제공한다.
글 클레이튼 터커 & 키이슨 윌리엄슨(Clayton Tucker & Keith Williamson)
임베디드 컴퓨팅, 에머슨 네트워크 파워
수많은 의료서비스 진화 모델 중에서 네트워킹 의료서비스(디지털 병원이라고도 함)가 의료 전문가 부족, 의료비 증가 등의 몇몇 인구 노령화 과제의 효과적인 해결책으로 대두되고 있다. 네트워킹 의료서비스를 통하면 서비스 공급자가 의료 차트에 기록된 정보가 아닌 방대한 데이터베이스에 저장된 임상 정보를 공유할 수 있기 때문에 환자의 안전 도모와 함께 양질의 의료 서비스를 제공할 수 있다.
최첨단 지능형 네트워킹 의료 기기는 네트워킹 의료서비스의 초석인 EMR(Electronic Medical Record, 전자 의료 레코드)에 수집된 데이터를 개선할 수 있다. 그러나 임상 환경에서 이용되는 의료기가 점점 복잡해지고 종류도 많아지면서 의료기 통합, 관리 및 보안과 관련된 과제 역시 증가하고 있다.
한 병원 전체, 심지어 의료서비스 네트워크 전반에 걸쳐 활용되는 기술과 응용 프로그램의 종류가 20,000 종에 이른다. 이렇게 역동적이며 광범위하게 구현된 기술은 상호 운용성 문제를 낳으며 병원 네트워크 환경 전반에 걸쳐 다양한 기능 및 응용 프로그램 간 상호 운영성 지원 수준은 극히 낮거나 없는 수준이다.
인텔 vPro™ 기술을 구성하는 요소인 인텔 AMT는 선별된 인텔 프로세서와 칩셋에 내장되어 관리 및 보안용 프레임워크가 처한 상호 운용성 문제를 해결하기 위한 길을 제공한다. 인텔 AMT는 컴퓨팅 시스템의 원격 검색, 복구 및 보호 메커니즘을 제공하므로 컴퓨팅 시스템이 작동하지 않아도 유선 또는 무선으로 지속적인 연결을 지원함으로써 원격 관리 및 자산 인벤토리 솔루션의 효율을 개선할 수 있다.
지금까지 원격 관리 콘솔은 "밴드내(in-band)"링크라고 하는 표준 네트워킹 기능을 사용하여 여러 장치와 통신했다. 이러한 방식은 대부분 장치(운영 체제, 하드 드라이브, CPU 및 네트워크 드라이버)가 정상 작동해야 한다는 단점이 있다. 이와 달리 인텔 AMT 회로는 "밴드외(out-of-band)" 링크라고 하는 새로운 통신 채널을 구축하여 컴퓨팅 시스템과 독립적으로 작동하면서 작동 중이 아닌 시스템과 통신하고 시스템을 제어할 수 있다.
인텔 AMT는 작동 상태에 있는 의료기를 원격으로 검색하여 자산 정보를 플래시 메모리에 저장하고 의료기가 꺼진 상태에서도 언제든지 정보를 읽을 수 있다. 또한, 소프트웨어 또는 운영 체제 결함이 발생해도 관리 콘솔에서 장치를 진단, 제어 및 복구할 수 있다. 시스템 보안 소프트웨어는 최신 패치로 원격 업데이트된다. 사이버 보호 시스템의 상주와 작동을 중앙에서 확인하고 모니터할 수 있다.
인텔 AMT 지원 시스템은 인텔 기반 하드웨어, 관리 콘솔 및 프로비저닝 시스템으로 구성된다. 하드웨어로는 인텔 AMT 기술을 지원하는 모든 인텔 칩셋을 기반으로 하는 마더보드 탑재 표준 랩톱, 워크스테이션 또는 서버를 사용할 수 있다. 지능형 간호 카트, 제약 분배 기기 및 의료 태블릿 등의 의료기에서 이러한 마더보드의 채용이 점차 증가하고 있다.
AMT 시스템의 두뇌는 관리 엔진(ME)으로, 시스템의 플랫폼 제어 허브(PCH)에 위치한 컴퓨팅 코어로 구성된다. 관리 엔진은 마더 보드의 3.3V 대기 전력으로 가동된다. 따라서 시스템이 작동을 멈춰도 관리 엔진은 활성 상태를 유지한다. 호스트 운영 체제의 실행 여부가 관리 엔진의 작동에 영향을 주지 않는다.
ME에서 실행되는 펌웨어를 MEBx(Management Engine BIOS extension, 관리 엔진 확장)라고 한다. MEBx 펌웨어는 완전한 TCP/IP 네트워크 스택, 인텔 AMT 네트워크 인터페이스용 드라이버, 802.1X, TLS 및 SOAP/HTTPS 등의 접속 및 트래픽 모두에 대해 보안 프로토콜, 완벽한 그래픽 키보드-비디오-마우스(KVM) 서버, 네트워크 필터 및 아래 설명되는 기타 인텔 AMT 응용 프로그램을 포함하고 있다.
인텔 AMT를 지원할 수 있으려면 드라이버가 ME 펌웨어 내장된 이더넷 또는 WiFi 인터페이스 중 선택 사용하여 시스템을 구축해야 한다.
인텔 AMT 지원 마더보드에는 일정한 용량의 NVRAM이 포함되는데, ME 펌웨어 이미지, 하드웨어 및 소프트웨어 자산 정보 저장, 네트워크 보안 키 저장용으로 할당된다. 이 NVRAM은 일반적으로 인텔 AMT 지원 마더보드에는 일정한 용량의 NVRAM이 포함되는데, BIOS 이미지 자정 및 네트워크 인터페이스에 필요한 모든 옵션 ROM 저장을 위해 전체 시스템과 공유된다. 인텔 AMT 지원 시스템은 BIOS와 마찬가지로 시스템 NVRAM의 일부분을 실행 공간으로 예약한다.
관리 콘솔
인텔 AMT를 통하여 관리하는 시스템에는 일정한 유형의 외부 관리 콘솔이 필요하다. 이 관리 콘솔이 Symantec의 Altiris, Microsoft의 SCCM 또는 LANDesk 등과 같은 많은 인텔 AMT 인식 시스템 관리 응용 프로그램 중 하나를 실행한다. 이러한 관리 소프트웨어 패키지는 일반적으로 병원 IT 환경에서 이미 사용되고 있다.
또한, 인텔에서 맞춤형 인텔 AMT 관리 응용 프로그램을 구축할 수 있는 인텔 AMT 고차원 API (HLAPI)를 지원하며, 중소 기업용 인텔 AMT 관리 응용 프로그램을 지원하는 전기능 참조 관리 응용 프로그램과 기술 시험은 물론이고 맞춤형 인텔 AMT 관리 응용 프로그램 개발에 유용한 샘플 HLAPI 코드도 제공한다. 이 문서에서는 인텔 관리 레퍼런스 콘솔을 사용하여 인텔 AMT를 사용한 원격 "밴드외(out-of-band)" 관리의 다양한 특징에 대해 살펴본다.
프로비저닝 시스템
병원의 IT 네트워크에 새로운 인텔 AMT 지원 시스템을 도입할 때 관리 콘솔에 접속을 가능하게 하는 일회성 프로비저닝을 통해야 한다. 인텔 AMT 프로비저닝은 네트워크의 규모와 병원의 IT 조직에서 시행하는 보안 방침에 따라 여러 가지 방법으로 구축할 수 있다. 이전 목록에 제시된 대부분의 상용 관리 응용 프로그램이 인텔 AMT 프로비저닝 기능을 내장하고 있다. 또한, 인텔에서 중앙 프로비저닝 서버에서 실행하거나 프로비저닝 대상 시스템에서 직접 실행(호스트 기반 프로비저닝)할 수 있도록 인텔 AMT 프로비저닝에 필요한 소프트웨어 도구도 제공한다. 특수하게 설정된 USB 메모리 드라이브를 통해 또는 BIOS 설정 화면과 매우 비슷한 인텔 AMT 시스템의 MEBx 설정 화면에 직접 입력하는 방법으로도 프로비저닝을 수행할 수 있다.
인텔 AMT 기능
인텔 AMT는 밴드외(out-of-band) 관리를 지원하면서도 호스트 관리 에이전트를 계속 활용하여 호스트 OS를 사용할 수 있으며 올바로 실행될 때(예: 정상 종료) 관리 작업 성능을 향상시킨다.
그림 1에 나온 원격 전력 관리는 인텔 AMT 기능 중 하나로, 인텔 AMT 인식 관리 콘솔에서 호스트 운영 체제의 정상 종료를 요청하고, 정지되었거나 "블루 스크린" 상태와 같이 응답이 없는 운영 체제를 강제로 종료하며, 현재 종료된 시스템에 BIOS 설정 화면 또는 운영 가동을 요청할 수 있다.
그림 2와 같이 인텔 AMT 버전 7.0 이상을 기반으로 하는 시스템과 함께 완벽한 그래픽 원격 KVM을 ME 펌웨어에 추가했다. 그 결과 관리 콘솔에서 as RealVNC, UltraVNC 또는 pcAnywhere와 같은 KVM 클라이언트를 실행하고 ME 펌웨어 상주 KVM 서버에 연결할 수 있다. IT 기술자가 원격 의료기의 비디오 콘솔을 통해 완벽한 영상을 보면서 마치 의료기에서 작업하듯이 키보드와 마우스를 사용하여 응용 프로그램을 시작할 수 있다.
KVM 기능과 비슷한 의도의 SOL(Serial-over-LAN) 기능을 통해 원격 의료기의 시리얼 콘솔에서 관리자 콘솔로 리디렉션이 가능하다. 이는 더 단순한 제어 및 모니터용 시리얼 인터페이스만 있고 그래픽 인터페이스는 없는 의료기에 유용하다.
인텔 AMT 내 IDE 리디렉션(IDE-R) 기능을 통해 IT 관리자가 원격 기기의 CDROM 또는 플로피를 관리자 워크스테이션의 CDROM 또는 ISO 이미지로 리디렉션할 수 있다.
이 IDE-R IDE 세션이 구축된 후에는 관리자의 로컬 CDROM이나 디스크의 ISO 이미지를 사용하여 원격 기기를 부팅할 수 있다. 이러한 방법은 그림 3에서 보듯이 진단 영상이나 복구 영상을 가진 실패한 기기를 부팅하는 데 흔히 사용되며, 관리자는 원격으로 기기를 재포맷하거나 재이미징(Reimage)할 수 있다. 이 기능은 주로 KVM 또는 SOL 기능과 연결하여 사용된다.
인텔 AMT를 사용하면 호스트 OS와 주고 받는 모든 네트워크 트래픽이 인텔 AMT 펌웨어의 감시 아래 송수신된다.
호스트 OS와 기기 사이에 송수신되는 패킷을 차단할 수 있는 구성 가능한 인텔 AMT 필터를 통해 감시가 이뤄진다. 또한, 특정 인텔 AMT 관리 패킷이 호스트 OS를 통하지 않고 바로 인텔 AMT 펌웨어로 전송되도록 할 수도 있다.
정상 작동 중에는 인텔 AMT가 호스트 OS와 이더넷 또는 WiFi 인터페이스 사이에 인텔 이외 업체의 AMT를 모두 허용할 수 있다.
그러나 네트워크의 위험한 패킷을 쏟아내는 악성 코드로 인해 호스트 OS가 손상되면 관리자는 호스트 OS와 네트워크 연결은 지속하면 밴드외 네트워크 통제를 유지할 수 있다. 이러한 조치는 관리자의 수동 조작으로 또는 관리 콘솔에 구성된 네트워크 위협 검출 방침에 따라 자동으로 수행될 수 있다.
후속 조치로 감염된 시스템을 원격 처리하여 악성 코드의 확산을 차단하거나 병원 네트워크의 다른 시스템을 서비스 거부 공격(DoS)으로부터 보호할 수 있다.
인텔 AMT에는 그림 4에서 같이 시스템의 NVRAM에 저장된 하드웨어 및 소프트웨어 인벤토리 데이터도 포함된다. 이 정보는 기기의 작동 여부에 관계 없이 언제든지 조회할 수 있다. 관리 콘솔에는 설치된 메모리의 양 등의 변화를 탐지하고 변동이 발생할 때 경고를 보내기 위해 주기적으로 인벤토리 정보를 검사하도록 구성된 방침이 들어 있다. 기기 이름, 모델 번호, 일련 번호 등의 OEM 관련 인벤토리 정보를 추가하기 위한 시스템의 OEM용 영역도 NVRAM에 포함되어 있다.
인텔 AMT에는 접속 보안과 네트워크 트래픽 보안을 모두 지원하는 매우 강력한 보안 기능이 있다.
주요 네트워크 보안 프로토콜을 대부분 지원한다. 그 결과 기기와 관리 콘솔 사이에서 송수신되는 관리 트래픽이 강력한 인증과 암호화가 보장될 수 있다.
또한, 네트워크 트래픽을 SOAP/HTTPS 프로토콜을 사용하는 것과 유사하게 보안함으로써 HIPAA/HITECH 준수에 필요한 완벽한 네트워크 보안을 제공한다.
에머슨 네트워크 파워와 인텔, 시만텍에서 공동으로 전자 의료 기록과 인텔 VPro가 네트워킹 의료서비스를 처리하는 방법의 예로서 실무 개념(Proof-Of-Concept) 플랫폼을 개발하였다(그림 5 참조).
그리고 MedDispense라는 자동화된 약물 배분 시스템과 무선 모바일 워크스테이션 모두로서 개념 증명(POC)을 구현하였다. 이러한 POC의 핵심은 최신 인텔 코어 i7 프로세서 기반으로 인텔 AMT를 지원하는 에머슨 네트워크 파워 임베디드 마더보드이다. 시만텍의 Altiris 솔루션 통합은 관리 기능의 상당한 부분을 해결한다.
회원가입 후 이용바랍니다.
개의 댓글
댓글 정렬
BEST댓글
BEST 댓글
답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
내 댓글 모음