직원 계정 탈취로 내부 행정망 침투... 고객 연락처·기업 내부 데이터 유출
다빈치·이온 로봇 플랫폼은 별도 망 운영으로 수술 시스템 영향 없어

[보안뉴스 김형근 기자] 세계적 수술용 로봇 기업 인튜이티브서지컬(Intuitive Surgical)이 피싱 공격으로 보안 침해 사고를 겪으며 고객 연락처와 임직원 정보 등 민감 데이터가 유출된 것으로 확인됐다.


이번 사고는 한 직원의 계정이 탈취되면서 시작됐다. 공격자는 이 계정을 통해 인튜이티브 내부 비즈니스 행정 네트워크에 접근했고, 그 과정에서 고객 정보와 기업 내부 데이터 일부가 외부로 유출된 것으로 알려졌다.

사고 발생 직후 인튜이티브는 대응 프로토콜을 가동해 관련 애플리케이션을 차단하고 외부 보안 전문가 및 수사기관과 함께 침투 경로와 피해 범위를 조사하고 있다.

다만 핵심 제품인 ‘다빈치’(Da Vinci)와 ‘이온’(Ion) 수술로봇 플랫폼은 내부 행정망과 분리된 별도의 시스템에서 운영되고 있어 수술 운영에는 영향을 미치지 않았다고 회사측은 밝혔다. 제조 공정과 제품 디지털 플랫폼 역시 별도 네트워크로 분리돼 있어 서비스 중단 등 추가 피해는 발생하지 않은 것으로 전해졌다.

또 병원에서 운영하는 의료 네트워크 역시 기업 내부망과 독립적으로 관리되고 있어 의료 현장의 직접적 2차 피해 가능성은 낮을 것으로 평가된다.

이번 사고는 최근 이란 연계 해킹 조직 ‘한다라’(Handala)가 의료기기 기업 스트라이커(Stryker)를 공격해 약 50TB 규모의 데이터를 탈취했다고 주장한 직후 발생하면서 의료 기술 기업을 겨냥한 사이버 공격 우려를 더욱 키우고 있다.

인튜이티브서지컬은 전 직원을 대상으로 추가 보안 교육을 실시하고 내부 보안 프로토콜을 재점검하는 등 대응 조치를 강화하고 있다.

업계에서는 이번 사건이 의료 기술 기업의 제품 보안뿐 아니라 내부 행정 시스템과 계정 보안 관리 역시 핵심 보안 영역임을 보여주는 사례라는 분석이 나온다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>