• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인젝션 펌프와 스마트 펜 통해 환자 정보 새 나간다 2017.12.05

인젝션 펌프와 스마트 펜 통해 민감한 정보 수집 가능
의료 기관 입장에선 기기 보호가 ‘서드파티 보안’

[보안뉴스 문가용 기자] 영국의 네트워크 및 보안 업체인 스피렌트(Sprient)의 보안 전문가 소랍 하릿(Saurabh Harit)이 인퓨전 펌프와 디지털 스마트 펜을 통해서도 환자의 민감한 정보가 유출될 수 있다는 사실을 발표했다. 그리고 환자의 정보를 활용해 보험 사기를 치거나 판매가 제한된 약물에 접근할 수 있다고, 그 영향에 대해서 설명했다.

[이미지 = iclickart]


“암시장에서는 온갖 약물이 값비싸게 거래되고 있습니다. 환자 정보로 제한된 약물을 구입해 그런 곳에 가져다 팔면 됩니다. 환자의 정보를 노리는 이유가 대부분 그런 것입니다.” 또한 하릿은 “환자 정보는 금융 정보보다 덜 보호되고 관리 실태가 그리 좋지 않아 탐지되는 데에 더 긴 시간이 소요된다”고도 짚었다. 이 때문에 환자 정보는 사이버 범죄자들에게 있어 쉽고 ‘짭짤한’ 수익거리가 된다는 것.

하릿은 이번 연구 결과를 이미 관련 인퓨전 펌프 및 디지털 스마트 펜 제조사들에게 알렸으며, 패치들이 전부 개발돼 나왔다고 밝혔다. 환자와 사용자들의 안전을 위해 제조사의 이름은 구체적으로 언급하지 않았다.

스마트 펜
하릿은 “별 거 아닌 기구로 보이는 스마트 펜을 통해서도 상당량의 환자 정보가 유출될 수 있다는 사실에 깜짝 놀랐다”며 “연구를 시작하기 전에는 내부적으로 디지털 펜을 통해 정보를 얻어 봐야 얼마나 얻을 수 있겠나, 했는데 뚜껑을 열고 보니 그렇지 않았다”고 말한다. “사실 의료기관들이 사전 질문에 ‘디지털 펜에 환자 기록을 저장하지 않는다’고 답했기 때문에 그런 예상을 했었던 것입니다.”

의료 현장에서 디지털 스마트 펜은 약을 처방할 때 주로 사용된다. 의사가 환자를 진찰해 약을 처방하면, 그 정보가 자동으로 약국 쪽에 전송된다. 환자의 증상은 물론 환자를 식별할 수 있게 해주는 이름, 주소 전화번호, 건강 기록 등도 이 때 함께 전달된다. ‘전달’이 목적인 기구로, ‘저장’용으로 활용되지 않는 게 일반적이다.

하지만 하릿과 그의 팀원들이 디지털 스마트 펜을 리버스엔지니어링한 결과 상당량의 정보가 펜 내부에 저장되어 있음을 알게 되었다. “먼저는 모니터를 기기에 연결시켜 내부 운영체제를 가시화 했습니다. 그런 후 네트워크 프로토콜을 익스플로잇 해서 낮은 권한으로 기기에 접근해 내부 소프트웨어를 추가로 익스플로잇했습니다. 기기 내부의 보안 장치를 우회하기 위해서였죠. 결국엔 관리자 권한을 취득하는 데 성공했습니다.”

기기에 탑재된 암호화 기술을 깨버린 후 하릿은 의료기관 백엔드 서버와 스마트 펜을 연결시켜주는 환경설정 파일에도 닿았다. “그리고 거기서부터 몇몇 의사들이 담당하고 있던 환자들의 기록을 열람할 수 있었습니다. 모두 스마트 펜으로부터 처리된 정보들이었습니다.” 게다가 해당 서버가 스마트 펜과만 연결된 게 아니었다. “인터넷과도 연결되어 있다는 걸 알아냈습니다.”

다행히 문제를 해결하는 것 자체가 어렵진 않았다고 하릿은 말했다. “여러 모로 보안을 염두에 두고 만들어진 제품이기 때문에, 출시 초기에 발견된 몇몇 구멍들이라 할지라도 쉽게 패치할 수 있었습니다. 업데이트 방법 자체도 간편하고요.”

인젝션 펌프
하릿은 중요한 의료 기구이자 사물인터넷 기기인 인젝션 펌프도 분석했다. 인젝션 펌프는 환자들에게 알맞은 약을 주기적으로 주입하는 데 사용되는 중요한 의료 기구이지만, 현 시점에서 해커들이 가장 많이 노리는 사물인터넷 기기들 중 하나이기도 하다.

하릿은 이번 연구를 위해 7 달러짜리 기기를 구입했다고 말했다. 그리고 설명서와 여러 실험을 통해 취약점을 파악했고, 가짜 접근점을 만들어 기기에 침투해 민감한 정보들을 수집할 수 있었다고 설명했다. “어떤 종류의 약물을 어떤 환자에게 어떤 주기로 얼마나 주입해야 하는지 파악하는 게 가능했습니다. 제가 만약 한 병원을 통째로 노리는 해커라면 악성 스크립트를 병원 네트워크에 심어 모든 인젝션 펌프를 공격할 수 있었을 겁니다.”

인젝션 펌프에서나 스마트 펜의 경우나, 하릿이 발견한 취약점을 익스플로잇 하려면 물리적인 접근이 필요하다. 보통의 경우 물리적인 접근이 필요하다고 하면 ‘사실상 해킹 불가능’으로 귀결되곤 하지만, 이 두 기기의 경우는 그렇지 않다. “병원 안으로 걸어 들어오는 일이 얼마나 쉬운지 생각해보세요. 병원 내 사물인터넷 기기는 접근성이 매우 좋습니다. 여러 기기들이 복도 내에 방치되어 이씩도 하고요. 스마트 펜은 작아서 마음만 먹으면 훔쳐내도 눈에 띄지 않습니다.”

의료 기관들의 경우 이러한 사물인터넷 기구들을 통한 사이버 범죄에 촉각을 곤두세워야 한다고 하릿은 경고했다. “이것이 이른 바 ‘서드파티 취약점’이죠. 병원 입장에서는 외부 제조사들이 만든 의료 기기들이 보안 취약점을 가지고 있지는 않은가, 전문가의 상담을 받아야 합니다. 치료에 있어서 기능적인 면만 봐서는, 각종 보험 사기와 개인정보 탈취 사고를 환자들에게 제공할 수 있게 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>