첨단 IT와 소프트웨어(SW) 비중이 높아진 의료기기가 해킹 사각지대에 놓여 대책마련이 시급하다. 의료기기에 내장된 컴퓨팅 시스템이 사이버 공격을 받으면 환자 생명까지 위협할 수 있다.
2일 관련 학계에 따르면 국내는 의료기기 사이버 공격에 대비한 개발 가이드라인이 미흡하고 이의 시험, 검사 체계도 마련되지 않았다. 의료기기에 들어가는 센서 등은 물리적 공격에도 무방비 상태다.
최근 의료기기는 첨단 IT 집합체다. 몸속에 이식해 각종 장기 기능을 보조하는 각종 의료기기가 늘어났다. 인공심장박동기를 비롯해 청각보조도구인 인공와우(Cochlear implant)가 많이 쓰인다. 스마트 약물주입기와 심장에 전기충격을 전달하는 제세동기 등이 늘어났다. 특히 이들 의료기기에 공개 SW 사용이 증가했다. 하지만 최근 오픈SSL 보안 취약점 발견 등 공개소프트웨어 안전성과 신뢰성, 정확성이 보증되지 않은 상태로 의료기기에 쓰인다.
김용대 KAIST 정보보호대학원 교수는 “실제로 인공심장박동기에 정상 심장 박동 신호를 보내 작동을 멈추면 환자 생명을 위협할 수 있다”며 “상당수 의료기기가 통신을 방해하거나 다른 신호를 보내는 물리적 해킹에 무방비 상태”라고 설명했다.
일부 의료기기는 보안 취약점이 발견돼도 패치를 할 수 없다. 의료기기 개발 시 SW 업그레이드를 할 수 없는 구조로 설계됐기 때문이다.
김 교수는 “일부 의료기기에 보안 취약점을 발견하고 관련 제조사에 패치를 권고했지만 손을 댈 수 없었다”며 “SW 업그레이드를 하려면 모든 의료기기를 리콜하는 엄청난 비용을 떠안아야 하기 때문에 외부로 알려지지 않기를 바랄 뿐이었다”고 지적했다.
한근희 고려대 고품질융합소프트웨어연구센터 교수는 “기존 의료기기는 식약청에서 기능성과 작동성을 인증했지만 이제는 내부에서 작동하는 SW 보증과 각종 부품을 공급하는 공급망사슬보증 등 의료 분야에 총체적 사이버 시큐리티 프레임워크가 필요하다”고 강조했다. 한 교수는 “의료기기 보안이 체계적으로 준비돼야 해외 수출을 활성화할 수 있다”고 덧붙였다.
의료기기 보안에 뒤처진 국내와 달리 미국 등 선진국은 대책 마련에 한창이다. 미 연방수사국(FBI)은 지난 4월 의료기기나 병원 네트워크 운영에 직접 영향을 끼치는 보안 취약점과 악성코드 감염을 발견했다. FBI는 의료기기와 시스템을 대상 사이버 공격 경고를 내리고 대책 마련을 촉구했다.
김인순기자 insoon@etnews.com
