미국 병원에서 실제로 사용 중인 약물주입기기를 해킹해 사람 목숨을 위협할 수도 있는 보안취약점이 1년 전에 발견됐는데도 해당 기기 제조사가 여전히 이 취약점을 방치해 놓고 있었던 것으로 나타났다.
9일(현지시간) 미국 지디넷에 따르면 보안전문가인 빌리 라이오스가 수년 전부터 '호스피라(Hospira)'라는 의료기기 제조사가 현지 병원에 공급 중인 약물주입기기의 펌웨어에서 발견된 취약점을 통해 실제 해킹이 가능하다는 점을 테스트해 왔다.
그 결과 지난해 5월 이 연구원은 미국 국토안보부와 식품의약국(FDA)에 'PCA3 라이프케어 인퓨전 펌프'라는 의료기기에 대한 취약점을 보고했다. 이 기기는 관리자가 설정을 통해 미리 채워진 약물을 환자에게 주입할 수 있도록 한 기기다.
간호사가 환자의 상태가 기록돼 있는 바코드를 스캔하면 이 기기는 사전에 입력된 약물치료 관련 정보(drug library)를 확인해 적정 수준의 약물을 주입한다. 만약 기준치를 초과해 약물이 주입되는 경우 경고가 울리도록 설계됐다.
라이오스가 발견한 취약점은 기기 관리자의 인증없이 약물치료 관련 정보를 조작해 약물주입량의 한계치를 바꿀 수 있게 하는 것이다.
관련기사
- 오라클 POS솔루션 노린 악성코드 등장2015.06.10
- 네이버-구글 사칭 무선 공유기 해킹 주의보2015.06.10
- 핀테크-IoT 보안, 융합과 사용자 편의성이 핵심2015.06.10
- DDoS공격 1년 새 2배 증가, IoT기기 부상2015.06.10
이 연구원은 블로그를 통해 FDA가 보안문제에 대해 경고했음에도 불구하고 해당 제조사가 400일이 지나도록 PCA3, PCA5라는 기기에서 어떠한 보안업데이트도 이뤄지지 않았다고 지적했다. 이에따라 라이오스는 같은 달 "호스피라의 다른 기기에서 유사한 취약점이 발견됐다"며 "이 제조사가 별다른 관심이 없는 것처럼 보인다"고 지적했다.
공격자가 해당 기기에 시리얼케이블을 연결하는 것만으로 어떤 인증절차도 없이 펌웨어를 업데이트할 수 있게 했다. 라이오스는 이밖에도 해당 기기에 낮은 펌웨어 버전이 적용돼 100여개 이상 보안문제와 잠재적인 취약점이 존재한다고 덧붙였다.