• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2018~19년에 꾸준히 발견된 의료 장비 취약점, 드디어 패치 시작 2020.02.05

의료 장비 특성상 패치 개발에 대한 난이도 높고, 각종 검사와 인증도 완료해야
실제적인 해킹 공격 사례는 아직 없어...남은 패치도 올해 안에 배포할 계획

[보안뉴스 문가용 기자] 의료 장비 제조사인 메드트로닉(Medtronic)이 2018년과 2019년 자사 장비에서 발견된 취약점들에 대한 패치를 발표했다. 패치가 늦어진 것에 대해 메드트로닉은 “의료 장비는 복잡하게 만들어졌을 뿐만 아니라 생명과 안전에 치명적인 역할을 하기 때문에 취약점을 평가하고 개발하는 데에 많은 시간이 걸린다”고 해명했다.

[이미지 = iclickart]


이에 메드트로닉과 미국 국토안보부의 사이버 보안 담당 기관인 CISA는 기존의 보안 권고문을 업데이트 했다. 고객들에게 패치가 개발되었음을 고지하기 위함이다. 이전 권고문에서는 위험을 완화시키는 몇 가지 방법만이 언급되었다.

“임플란트 형식으로 이식되는 의료 장비들은 대단히 복잡하고 정교하게 만들어지며, 안전과 생명에 있어서 치명적인 수준으로 중요한 역할을 합니다. 패치를 개발한다는 게 기술적으로 어렵기도 하지만, 유관 기관으로부터 인증을 받는 과정 역시 긴 시간을 요구합니다. 메드트로닉은 안전의 모든 면을 꼼꼼하게 검토했고, 인증 기관과의 긴밀한 협조로 전체적인 기능과 안전성을 확인했습니다.” 메드트로닉의 발표 내용이다.

메드트로닉과 CISA가 함께 2019년 3월에 발표한 보안 권고문에 의하면 취약점이 발견된 건 메드트로닉의 코넥서스(Conexus)의 무산 주파 프로토콜로, 이는 이식형 심장 제세동기(implantable cardioverter defibrillators, ICD)와 심장 재동기화 치료 기구(cardiac resynchronization therapy defibrillators, CRT-D)에도 활용된다.

작년 여러 대학의 전문가들이 발견한 취약점들에는 1) 인증 시스템 부재, 2) 통신 암호화 부재, 3) 승인 시스템 부재 등이 있었다. 이 취약점들을 성공적으로 익스플로잇 하면 공격자들은 시스템에 접근하고, 통신을 가로채고, 데이터 재생과 조작을 할 수 있게 되며, 장비 설정을 임의로 바꿀 수 있게 된다.

그 전, 2018년 2월에 공개된 보안 권고문은 빌리 리오스(Billy Rios)와 조나단 버츠(Jonathan Butts)라는 보안 전문가들이 발견한 취약점들에 관한 내용이다. 취약점 영향을 받은 제품은 케어링크 2090(CareLink 2090)과 케어링크 앙코어 29901(CareLink Encore 29901)이었다. 모두 심장과 관련된 장비를 프로그래밍 및 관리해주는 장비들이다.

리오스와 버츠가 발견한 취약점을 익스플로잇 할 경우 장비의 이름과 비밀번호, 시스템 파일에 접근하는 게 가능하고, 중간자 공격을 통해 악성 업데이트를 강제로 시스템에 푸시할 수도 있게 된다.

이렇듯 지난 2년여 동안 상당히 치명적인 취약점들이 여러 개 나왔고, 메드트로닉은 이에 대한 패치를 오늘 발표했다. 그러나 전부는 아니고 코넥서스 취약점을 가지고 있는 장비를 절반 정도 고칠 수 있는 분량이라고 한다. 대신 올해 안에 나머지 취약점들에 대한 패치도 배포하기 시작할 것이라고 메드트로닉은 약속했다.

케이링크 장비에서 발견된 취약점들의 경우, 메드트로닉은 소프트웨어 정의 네트워크(SDN)에 대한 접근을 비활성화 시킴으로써 악성 업데이트가 푸시되지 않도록 했다. 소프트웨어 업데이트가 있을 경우 보안 USB를 통해서 할 것이 권장되기도 했다.

메드트로닉은 현재까지 위 장비들과 취약점을 겨냥한 실제 사이버 공격을 발견하지 못했다고 발표하기도 했다. “아직까지 실제 피해 사례는 없습니다. 사이버 공격으로 생명은 물론 프라이버시 및 데이터 침해도 발생하지 않은 것으로 알려져 있습니다. 메드트로닉은 남은 패치들도 최대한 빨리 배포해 환자들과 사용자들의 안전에 만전을 기하겠습니다.”

3줄 요약
1. 스마트 의료장비 제조사인 메드트로닉의 커넥티드 장비 일부에서 취약점 발견.
2. 지난 2년 동안 여러 제품에서 취약점이 나타났으나 패치가 나온 건 올해.
3. 의료 장비라 기술적 및 행정적 문제를 해결하는 데에 긴 시간이 걸렸다고 해명.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>