최근 미국과 캐나다 병원을 대상으로 랜섬웨어 공격이 잇달아 발생하면서 지난 2월 스페인에서 열렸던 글로벌 보안회사 카스퍼스키랩 주최 보안 행사(Security Analyst Summit 2016)에서 있었던 병원 침투 테스트를 주제로 한 발표가 주목을 받고 있다.
발표 내용은 이렇다. 카스퍼스키랩 연구원 서지 로즈킨(Sergey Lozhkin)은 어느 날 인터넷에 접속된 병원 의료 장비들을 검색했다. Shodan으로 찾아낸 MRI 스캐너, 심전도 장비, 방사선 의료 장비 등에는 윈도우 XP 같은 오래된 운영시스템을 그대로 사용하는 것들은 물론, 인터넷에 공개된 장비 사용 설명서에 나오는 디폴트 패스워드를 그대로 사용하는 것들도 많았다.
대략 검색하던 중 낯익은 병원 이름이 눈에 띄었다. 동료 직원이 다니는 병원 장비였다. 두 사람은 병원에 가서 상황을 설명하고 침투 테스트를 해도 좋다는 허가를 얻었다.
비밀리에 진행된 침투 테스트에서 제일 먼저 시도한 원격지 공격 결과는 실패였다. 병원 시스템 관리자가 보안 관리를 잘 해 놓은 덕분이었다. 두 사람은 이번에는 병원으로 직접 찾아가 공격을 시도했다. 그 결과 병원 와이파이 보안 설정에 문제가 있다는 걸 발견, 네트워크 키를 알아내 침입에 성공할 수 있었다.
연구원들은 병원 의료 장비 현황과 저장된 데이터를 파악한 뒤에 의료 장비들에 인스톨된 애플리케이션 취약점을 찾아내 환자 의료 내역과 주소, 신분증 등의 환자 개인정보에 접속하는 데 성공했다. 뿐만 아니라 취약점을 이용해 해당 애플리케이션이 적용되는 모든 장비(MRI, 심전도 측정기, 방사선, 수술 장비 등등)에 침입할 수 있었다. 결국 두 사람은 마음만 먹었다면 뭐든(파일 변경, 저장, 삭제, 장비 물리적 제어 등등) 할 수 있었다고 한다. 공격자였다면 어떻게 했을까? 환자 정보를 서드파티에 판매, 병원에 랜섬 머니 요구, 환자 증상, 병명 위조, 장비 고장내기 등으로 환자를 위험에 빠뜨리고 병원에 큰 금전적 피해를 입히고, 병원 신용에 큰 부정적 영향을 줄 수 있었을 것이다.
연구원들은 의료 장비와 병원 IT 시스템이 취약한 것은 어제 오늘의 일이 아나리 해킹 당하는 것이 놀라운 일이 아니며, 허술한 보안 관리도 문제지만 애당초 의료장비들이 보안을 염두에 두고 제작되었다는 게 가장 큰 문제점이라고 강조했다. 특히 고가의 의료장비들일수록 취약점 픽스나 교체가 힘들다는 것.
로즈킨 연구원은 현대의 병원들이 IT화 됨에 따라 병원 네트워크 보안은 환자와 의료장비 보호에 필수인데 의료기기와 의료용 소프트웨어 엔지니어들은 외부에서 불법 접속할 수 있다는 사실을 까마득히 잊는 경우가 많다며, 새로운 기술일수록 보안을 최우선으로 고려해야 한다고 강조했다.
출처: 카스퍼스키랩 블로그
