글루코스 제품 등 3종에서 총 다섯 개의 취약점 발견돼
장비 장악과 생명 위협...패치 이번 달 안으로 발표될 예정

[보안뉴스 문가용 기자] 스위스의 의료 건강 기업인 로슈(Roche)에서 나온 제품 일부에서 취약점들이 발견됐다. 이 취약점을 악용하면 로슈 장비를 사용하는 고객들의 생명이 위험해질 수 있다는 경고도 함께 나왔다.


이를 발견한 건 의료용 사물인터넷 장비 보안 전문 업체인 메디게이트(Medigate)로, 로슈에서 출시한 세 가지 종류의 제품에서 총 다섯 가지 취약점을 발견했다. 이 제품은 아큐체크(Accu-Check)라는 글루코스 확인 장비, 코아구체크(CoaguCheck)라는 항응고요법 장비, 코바스(Cobas)라는 현장진단 시스템이다.

이 취약점들과 제품에 대한 상세한 정보는 ICS-CERT가 최근 발표한 권고문을 통해서도 접할 수 있다. 취약점 다섯 개가 모든 제품에서 일괄적으로 발견된 게 아니라, 특정 제품의 특정 버전에서 일부 취약점들이 따로따로 발견된 것이기 때문에 제품 사용자라면 이 권고문을 참조하는 것이 좋을 것으로 보인다.

이번에 취약점이 발견된 제품들은 기본 유닛과 손으로 들고 다닐 수 있는 장비로 구성되어 있다. 이 두 가지 부품들은 무선으로 통신하는데, 여기에는 와이파이도 포함된다. 물론 와이파이 옵션이 없는 장비들도 있다. 메디게이트에 의하면 로컬 네트워크에 접속할 수 있는 공격자라면 기본 유닛을 침해하고, 그 다음 휴대 부품쪽을 공격하는 게 가능하다고 한다.

이번에 발견된 취약점들은 CVSS 기준으로 6.5점에서 8.3점을 받았다. 네트워크에 접속 가능한 공격자가 이 취약점들을 악용할 경우 인증 과정을 피해서 고급 인터페이스에 접근하거나, 특수한 의료 프로토콜을 사용해 코드를 실행시킬 수도 있게 되고, 파일시스템에 임의 코드를 저장할 수도 있게 된다.

이 중 명령을 실행시키도록 해주는 오류의 경우, 공격자가 인증 과정을 통과해야만 하지만 ICS-CERT 권고문에 의하면 해당 제품에 걸려 있는 비밀번호가 너무 약해서 공격자가 쉽게 인증을 받을 수 있다고 한다. 또한 메디게이트는 “발견하기가 쉽지 않은 취약점이지만, 발견만 하면 쉽게 익스플로잇 할 수 있다”고 설명했다.

이는 사용자들의 생명과도 직접 연결될 수 있는 심각한 취약점이라고 메디게이트는 강조했다. “왜냐하면 이런 취약점들을 익스플로잇 하면 기본 유닛과 휴대 유닛의 완전한 장악이 가능해지기 때문입니다. 그리고 이 장비들이 생성한 트래픽 역시 전부 가져갈 수 있게 됩니다.”

그렇다는 건 의료 장비용 프로토콜과 의료 데이터를 조작할 수 있다는 뜻이다. “글루코스 장비에서 이런 일이 발생하면 생명이 위급해질 수 있고, 생명까지 아니더라도 치료와 진단을 잘못 이끌어 낼 수 있게 되는데, 이는 장기적으로 결코 좋을 수 없다.”

ICS-CERT는 로슈 측에서 현재 취약점을 개발 중에 있다고 발표했다. 그러면서 완료된 패치가 이번 달 안에 배포될 것이라고도 말했다. 패치가 완성될 때까지 로슈 측은 고객들에게 현재 문제가 되고 있는 장비들로의 네트워크 및 물리적인 접근을 자제하라고 권고했다. 그러면서 악성 소프트웨어와 비승인 접근 시도를 확인하는 것도 필요하다고 말했다.

3줄 요약
1. 의료 건강 업체 로슈의 장비 3개에서 5개 취약점 나옴.
2. 인증 우회, 임의 코드 실행 등 통해 장비 장악 가능케 해줌.
3. 패치는 이번 달 안에 나올 듯. 그때까지는 해당 장비로의 접근 삼가야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>