J&J, 인슐린펌프 제품 보안취약점 경고

존슨앤존슨이 자사의 인슐린펌프 중 1개 제품에서 해커들이 노릴 수 있는 보안 취약점이 발견됐다는 사실을 환자들에게 알리고 있다고 로이터통신이 보도했다.

해당 분야의 전문가들에 의하면 제조사가 환자들에게 이러한 사이버보안 취약점에 대해 경고한 것은 이번이 처음이라고 한다. 미국에서는 지난달 심박조율기와 제세동기의 버그와 관련된 보안 취약성에 대한 논란이 제기된 바 있다.

로이터통신에 의하면 존슨앤존슨의 경영진은 자사의 애니머스 원터치 핑(Animas OneTouch Ping) 인슐린펌프 제품에 대한 실제 해킹 사례는 아직 없는 것으로 알고 있다고 밝혔다. 존슨앤존슨은 예방 차원에서 소비자들에게 이러한 점을 경고하고 문제를 해결할 수 있는 방법을 알리기로 결정했다.

회사 측은 미국과 캐나다에서 이 제품을 이용하고 있는 환자들과 의사들을 상대로 발송한 공문을 통해 원터피 핑 시스템에 대한 허가되지 않은 접근 가능성이 실제로는 매우 낮다고 설명했다.

원터치 핑 시스템이 인터넷이나 다른 외부 네트워크와 연결되지 않았기 때문에 해킹을 위해서는 기술적인 전문성과 정교한 장치, 제품에 대한 근접성이 요구된다고 한다.

인슐린펌프는 몸에 부착한 뒤 인슐린을 지속적으로 주입하기 위한 의료기기다. 미국에서 2008년에 출시된 애니머스 원터치 핑은 무선 리모컨과 함께 판매돼 환자들이 장치를 직접 조작할 필요 없이 인슐린을 투여할 수 있게 한 제품이다.

미국 보안 전문업체인 래피드7(Rapid7)의 연구원인 제이 래드클리프는 해커가 리모컨과 인슐린펌프 사이의 통신을 스푸핑해 강제적으로 인슐린을 투여할 수 있는 방법을 처음 발견했다.

래드클리프는 이 시스템의 경우 해커들이 장치에 접근하지 못하게 하는 암호화 혹은 신호변환이 이뤄지지 않았기 때문에 취약점이 있다고 지적했다. 존슨앤존슨 측은 현재 래드클리프와 협력해 보완 문제에 대응하고 있다고 밝혔다.

존슨앤존슨 당뇨병사업부 최고의료책임자인 브라이언 레비는 당뇨병 환자들에게 인슐린이 과다 투여될 경우 저혈당증이 발생할 수 있으며 심할 경우 사망에 이를 수 있다고 말했다.

또 회사의 기술자들이 레드클리프의 발견을 검토한 결과 이 제품을 해킹하려면 25피트(약 7.6미터) 내로 접근해야 하며 전문적인 기술과 복잡한 장치가 필요하다는 점을 확인했다고 설명했다.

존슨앤존슨은 만약 보안 취약점이 우려될 경우 리모컨 사용을 중지하고 인슐린펌프의 최대 투여용량을 제한하는 등의 조치를 취할 수 있다고 조언했다. 래드클리프 연구원은 존슨앤존슨의 공문에서 언급된 절차대로 따를 경우 안전하다고 말했다.

미국에서는 지난 8월에 세인트 주드 메디컬의 심박조율기에 대한 보안 취약성 논란이 제기됐으며 이에 따라 미국 FDA가 조사에 착수했다.

FDA는 이번에 존슨앤존슨과 래피드7이 협력해 보안 취약점을 발견하고 대책을 마련하며 이를 공개한 과정에 대해 당국이 원하고 있는 사전 대처 사례라고 칭찬했다.

작년에 FDA는 호스피라의 인슐린펌프에 대한 사이버 버그를 경고한 바 있다.