내용 |
최근 미국의 보안연구팀들은 사이버해커들이 생명을 유지하도록 도움을 주는 의료용 심장 제세동기를 온전히 제어할 수 있는 중대한 보안결함을 발견한 것으로 나타나 관련 내용을 살펴보기로 한다.Clever Security社의 전문가들이 진행한 이번 연구에 의하면 모니터들을 임플란트에 연결하는 역할을 수행하는 Conexus Radio Frequency Telemetry Protocol에는 안전한 통신수단이 가능한 암호화기능이 없는 것으로 나타났으며, 이로 인해 사이버공격자는 해당 기기와 제어기 간의 통신수단을 해킹하여 환자의 몸에 이식된 기기를 제어하고 펌웨어를 조종할 수 있는 것으로 나타났다고 한다.이에 해당 보안결함을 발견한 뒤 의료솔루션기업인 Medtronic社에 해당 사실을 고지하고 이러한 내용이 외부에 알려지기 이전에 보안결함을 수정할 시간이 주어졌으며, 3월 21월 미국의 국토안전부는 언론에 해당 사실을 고지한 것으로 나타났다.고지사실을 살펴보면, 밝혀진 보안취약점을 해커가 악용할 경우 인근의 근접 접근권한을 가진 사이버공격자가 무선으로 해당 기기에 대해 간섭이나 특정 권한의 생성 및 수정을 허용할 수 있으며, 보안결함이 제세동기에 어떠한 영향을 미치는지를 비롯해 약간의 기술 만으로도 민감한 데이터를 전송할 수 있는 권한을 가질 수 있도록 만든다는 내용을 밝혔다.해커가 해당 기기를 온전히 제어하기 위해서는 모니터나 프로그래머 혹은 소프트웨어로 정의된 주파수를 전송 및 수신할 수 있는 원격통신장치와 이러한 장치에 영향을 받게되는 근접 접근권한이 부여된 RF 기능이 활성화된 상태에 있어야 한다는 점을 악용한 것으로 드러났다고 한다. 또한 해당 보안취약점이 성공적으로 해커에게 넘어간 경우, 이에 영향을 받은 이식된 장치에 포함된 메모리에 읽거나 쓸 수 있는 기능도 넘어갈 수 있는 것으로 나타나 장치의 정상적인 기능에 영향을 미칠 수 있다.이에 제세동기 제공업체인 Medtronic社는 해커가 해당 보안결함을 악용하는 것을 방지하기 위해 아래와 같은 권장사항을 발표하였다고 한다;1. 가정용 모니터와 프로그래머에 대한 물리적 접근수준을 유지할 것2. 시스템 무결성을 보장하기 위해 의료서비스 제공업체 혹은 공식대리점에서 받은 가정용 모니터와 장비만을 사용할 것3. USB포트 혹은 기타 물리적 연결을 통해 허가받지 않은 장치를 모니터나 프로그래머에 연결하지 말 것4. 물리적으로 제어되는 병원이나 임상환경에서만 장치를 연결하고 활용할 것5. 가정이나 아파트, 물리적으로 통제된 사적인 공간에서만 가정용 모니터를 사용할 것이처럼 인터넷에 연결된 이식가능한 생명유지용 제세동기 또한 보안취약점으로 인해 사이버해킹의 위협에서 안전하지 않은 것으로 나타나 사용자들의 세심한 주의가 요구되는 시점이다. |