미국 국토안보부와 식약청에서까지 경고문과 보도자료 배포
CVE-2019-10964 번호 부여돼...인슐린 양 멋대로 조정 가능케 해줘

[보안뉴스 문가용 기자] 의료 장비 제조 업체인 메드트로닉(Medtronic)과 미국 정부 기관이 동시에 보안 경고문을 발표했다. 메드트로닉에서 만든 미니메드(MiniMed) 인슐린 펌프 일부에서 심각한 취약점이 발견되었다는 내용이다. 이 취약점을 성공적으로 익스플로잇 할 경우 수많은 환자들에게 치명적인 영향이 있을 수 있다고 한다.


이 사실을 대중들에게 알리기 위해 메드트로닉은 물론 미국 국토안보부(DHS)와 식약청(FDA)이 동시에 보도자료를 배포하고, 경고문을 내놨다. 특히 ‘미니메드 508’과 ‘패러다임(Paradigm) 시리즈’에서 위험성이 발견되었다고 한다.

취약점의 공식 번호는 CVE-2019-10964다. 접근 통제 기능과 관련이 있는 것으로, 나다나엘 폴(Nathanael Paul), 제이 래드클리프(Jay Radcliffe), 바나비 잭(Barnaby Jack), 빌리 리오스(Billy Rios), 조나단 버츠(Jonathan Butts), 제스 영(Jesse Young)과 같은 전문가들이 연구와 분석을 통해 찾아낸 것이라고 한다.

이 취약점의 영향을 받는 장비들의 공통점은 ‘당뇨 검사기’, ‘원격 제어기’, ‘캐어링크 USB(CareLink USB)’ 장비들과 무선 RF 프로토콜로 통신한다는 것이다. 이 과정에서 인증과 확인이 제대로 이뤄지지 않는다는 게 취약점의 핵심이다. 공격자가 중간에서 이 통신을 가로채는 데 성공하면 데이터를 주입하거나 다른 데로 빼돌리고, 조작할 수 있게 된다. 장비 설정을 변경할 수도 있고, 환자에게 투여되는 인슐린의 양도 조정하는 게 가능하다.

“무선 주파수 신호를 가까운 인슐린 펌프에 보낼 기술과 장비를 갖춘 공격자라면 이 취약점을 익스플로잇 할 수 있고, 그러한 공격을 통해 장비의 상태와 데이터를 바꿈으로써 환자에게 엉뚱한 양의 인슐린을 주입할 수 있게 됩니다. 인슐린이 과도하게 주입되면 저혈당증에 걸리게 되고, 적게 주입되면 고혈당에 걸리게 됩니다.” 메드트로닉의 설명이다.

미국 식약청은 “현재 메드트로닉의 장비를 사용하는 환자가 미국 내에 약 4천 명 정도 되는 것으로 파악했다”며 “이들은 취약한 것으로 알려진 장비에 크게 의존하고 있다”고 발표했다.

하지만 메드트로닉은 “아직 이 취약점이 실제 공격에 악용된 사례는 발견할 수 없었다”며, “환자나 의사들 모두 장비를 사용하는 데 있어 크게 거리낄 필요가 없다”고 말했다. 다만 “미국 내에 거주하는 환자들이라면, 담당 의사나 기관에 말해 해당 취약점이 존재하지 않는 모델로 바꿀 것을 권한다”고 덧붙였다. 미니메드 670G 모델의 경우 이 취약점이 없다고 한다.

미국 영토 바깥에 거주하면서 메드트로닉의 장비를 사용하는 경우, 새로운 모델을 구하는 게 쉽지 않다면, “사이버 공격을 방지하기 위한 실천 사항을 준수해야 한다”고 메드트로닉 측은 권고했다. 식약청은 “메드트로닉은 이번에 미니메드 508과 패러다임 장비들에서 발견된 취약점을 소프트웨어 업데이트 방식으로 패치할 수 없는 상태”라고 설명하기도 했다.

현재 문제의 장비들은 ‘리콜’ 절차를 밟고 있다고 한다. 다만 기존 장비를 다시 입고해야만 새 장비를 받을 수 있는 건 아니라고 한다.

3줄 요약
1. 메드트로닉 사에서 만든 인슐린 펌프 장비 일부에서 취약점 발견됨.
2. 해커가 무선 통신에 침투해 인슐린 양을 마음대로 조정할 수 있게 해주는 취약점.
3. 미국 내 거주 중에 있는 사용자라면 새 장비로 교체해야 하고, 해외 사용자라면 보안 실천 사항을 지켜야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>