Skip to content

보조 의료 머신의 취약점으로 인한 위험성 경고

March 1, 2012

2012 RSA 컨퍼런스에서는 인슐린 펌프의 취약점과 이것이 어떻게 악용될 수 있는지에 대해서 경고하는 발표가 있었습니다. 보안 업체 McAfee에 다니는 해커 Barnaby Jack에 의해 진행된 연구 입니다. 인슐린 펌프 취약점에 대해 좀 더 자세히 알아보겠습니다.

현재 미국에선 2012 RSA Conference가 성황리에 열리고 있습니다. 여러 흥미로운 발표들이 진행되고 있는데, 그중에 하나를 소개드리겠습니다.

당뇨병 환자들은 주기적으로 인슐린을 공급받아야 합니다. 기술의 발전으로 인해 요즘엔 보조 의료 머신을 이용하여 주입하기도 하는데 잘 알려진 의료 머신은 인슐린 펌프입니다. 대표적인 의료 기구 제작사인 Medtronic에서 인슐린 펌프에 관해서 다음과 같이 설명하였습니다.
 

인슐린 펌프

인슐린 펌프는 작은 휴대용 장치로서, 당뇨병 환자에게 인슐린을 지속적으로 공급해줍니다. 인슐린 펌프는 벨트나 옷 안주머니와 같은 여러 곳에 넣어둘 수 있습니다. 펌프는 피부 안쪽에 심어둔 작은 관을 통해 인슐린을 주입해줍니다. 성인과 소아 환자를 대상으로 한 연구에서는 인슐린 펌프 요법이 인슐린 주사를 하루에 여러 번 투여하는 전통적인 처방보다 혈당 조절에 더 뛰어난 것으로 증명되었습니다.

당연한 얘기지만 특정 조건에 맞춰서 환자에게 자동으로 인슐린을 공급해야 하기 때문에 의료 머신은 프로그래밍이 가능합니다. 그냥 일반적인 소프트웨어라고 같다고 보시면 됩니다.

 

이번 RSA 컨퍼런스에서는 인슐린 펌프의 취약점과 이것이 어떻게 악용될 수 있는지에 대해서 경고하는 발표가 있었습니다. 보안 업체 McAfee에 다니는 해커 Barnaby Jack에 의해 진행된 연구 입니다. 다들 아시다시피 Barnaby Jack은 아주 유명한 해커죠. 대표적인 연구는 2010년 블랙햇에서 발표된 ATM cash machine 해킹입니다.

다음은 이번에 발표된 인슐린 펌프 해킹과 관련 기사입니다.

http://go.bloomberg.com/tech-blog/2012-02-29-hacker-shows-off-lethal-attack-by-controlling-wireless-medical-device/

핵심은, 만약 해커가 인슐린 펌프를 사용하는 환자의 근처에 접근할 수 있다면 발견한 취약점을 이용하여 인슐린의 양을 마음대로 공급할 수 있다는 얘기입니다. 인슐린 펌프는 Wireless로 연결되어 있습니다. 즉, 꼭 물리적인 방식이 아니더라도 접근할 수 있는 가능성이 있다는 것이죠.

 

Barnaby Jack (Photograph: David Paul Morris/Bloomberg)

 

당연한 이야기지만, 인슐린 공급이 적절하게 이루어지지 않을 경우 당뇨병 환자에게는 치명적인 문제가 됩니다. 생명과 직결될 수도 있는 문제이기 때문에 “정보 유출” 등의 기존 소프트웨어 보안 이슈랑은 다른 관점으로 접근해야 합니다.

Barnaby Jack은 기술적으로 자세한 내용을 언급하진 않았지만 산업계에 강한 경고를 남기는데 성공하였습니다. 사실, 인슐린 펌프와 관련된 보안 문제점은 이전부터 논의가 되어 왔었습니다. 학계에서도 다뤄져왔으며 데프콘 등에서도 발표된 적이 있었죠.

이번 Barnaby Jack의 연구는 인슐린 펌프를 악용할 수 있다는 점에서 기본적으로는 같습니다만, 연구를 보다 확장했다는 점에서 의의가 있습니다. 기존에는 장비가 Wireless라고 해도, 아주 근접한 위치에 있어야만 악용을 할 수 있었습니다.

Barnaby Jack은 Antenna를 활용하여 최대 300 feet (약 91미터) 거리에서도 인슐린 펌프 장비들에 접근할 수 있다는 것을 확인했다고 합니다. 이것이 실제 공격으로 연결된다고 하면 상상만 해도 끔찍하죠. 다행히 이 해킹을 구현하는 것이 아주 쉽지는 않기 때문에 누구나 할 수 있을 것 같지는 않다고 말했습니다.

이번에 진행된 연구를 통해 의료 장비에는 많은 보안 취약점이 존재한다는 것을 알게 되었다고 합니다. 여기서 한 가지 놀라운 점은, 해당 의료 기기 제작사인 Medtronic은 자사 제품의 보안을 위해서 여러 유수의 세계적인 보안 업체들을 이미 고용했었다는 점이죠. 그런데, 별로 성과가 없었다는 것입니다.

한마디로 말하면 Medtronic은 보안을 위해서 돈을 쓰려는 의지는 있었지만, 그 돈을 어떻게 써야 정말로 보안을 개선시킬 수 있었는지는 몰랐던 것이죠. 이 문제는 비단 Medtronic뿐만 아니라 전 세계적인 기업에서도 자주 일어나는 일입니다.

정보보호는 어려운 분야이기 때문에, 돈을 쓰는 방법도 연구를 해야 합니다. 전통적인 방식처럼 일방적으로 외주를 주는 방식으로는 해결될 수가 없는 문제죠.

Advertisements

From → Security Misc

Leave a Comment

댓글을 남겨주세요.

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: