‘해커가 당신의 목숨을 노린다’…위협받는 디지털 치료기

등록 2023.01.27 17:01:00수정 2023.01.27 20:53:13

드론·월패드 해킹 경험 해커들 헬스케어 시장에 공격 가능성

美 인슐린 펌프 보안 취약점 발견…해킹으로 과다 주입 우려

보건당국·제조사, 고객에 적극 알리고 리콜 조치 위험 차단해

전문가 “수시로 보안 취약성 점검하고 발 빠른 대응력 필요”

[서울=뉴시스] 27일 정보보안업계에 따르면 최근 디지털헬스기기 산업이 해커들의 타깃이 되고 있다. (사진=뉴시스 DB)

[서울=뉴시스]송종호 기자 = “해커가 마음만 먹으면 인공 심장박동기 제어권을 탈취해 작동을 멈추게 할 수 있습니다. 숙련된 해커에게 심장박동기와 스마트폰을 연결하는 네트워크에 침투하기는 어려운 일이 아닙니다.”

국내 굴지의 정보보안 기업에서 활동하는 화이트 해커의 경고다. 보안 전문가들은 이미 디지털 헬스 기기를 노린 해킹이 수면으로 드러나기는 시간문제라고 분석했다.

27일 의료기기 업계와 정보보안 전문가들에 따르면 최근 급성장하고 있는 디지털 헬스 기기 분야가 해커들의 먹잇감이 될 수 있다는 우려가 나오고 있다.

돈 노린 해커 군침…해킹된 인슐린 펌프, 과다 주입 우려

이런 판단은 해커 대부분이 돈을 따라 움직인다는 점에 근거하고 있다. 최근 급성장하는 디지털 헬스 기기 시장 역시 해커들에게 놓칠 수 없는 타깃이라는 것이다.

한국바이오협회에 따르면 글로벌 디지털 헬스케어 시장 규모는 지난 2020년 1525억 달러(약 187조 9562억원)에서 오는 2027년 5088억 달러(약 627조 3504억원) 규모로 연평균 18.8% 성장할 것으로 전망된다. 이 같은 성장을 고려하면 해커들이 타인의 생명을 볼모로 금전적 이득을 노릴 가능성이 높다는 것이 보안업계의 분석이다.

또 그동안 드론이나 아파트 월패드 해킹 등으로 경험을 쌓은 해커에게 디지털 헬스기기 낮선 분야가 아닌 점도 주의해야 할 대목이다. 한 보안전문가는 “드론, 월패드 모두 네트워크게 침입해 제어권을 탈취한 것”이라며 “공격 대상을 심장박동기, 인슐린 펌프 등으로 옮긴다고 해서 완전 다른 기법이 필요한 것은 아니다”고 말했다.

이 같은 위험 신호는 수년 전부터 감지되고 있다. 특히 관련 산업이 발전한 북미나 유럽지역에서 많이 발생하고 있다.

지난 2019년 미국 식품의약국(FDA) 메드트로닉의 인슐린 펌프 일부가 보안 취약점이 있다고 경고했다. FDA는 “(리콜 대상) 인슐린 펌프에서 환자, 간병인, 의료진이 아닌 다른 사람이 인슐린 펌프에 무선으로 연결해 펌프 설정을 변경하는 등 보안 위험이 있었다”고 밝혔다.

앞서 미국 제약·의료기업체 존슨앤드존슨(J&J)도 지난 2016년 자사의 당뇨 환자 휴대용 인슐린 자동 공급 제품에 보안 취약점이 있다고 인정했다. 존슨앤드존슨은 해커가 해당 제품의 와이파이에 침투해 환자 몸에 인슐린을 과용량 주입되도록 조정할 수 있다고 경고했다.

미국·유럽, 보안 기준 상향…韓, 담당 조직 신설·가이드라인 제정

디지털헬스기기 해킹에 대한 불안감이 커지면서 각국은 관련 보안 기준을 상향하고, 부족한 부분은 보완하고 있다.

미국은 2017년부터 의료기기 및 방사선 건강센터(CDRH)와 FDA를 중심으로 안전관리 규제체계를 마련하고 있다. 특히 디지털헬스기기의 경우 제품 등급을 세 개의 카테고리로 나눠 의료기기의 안전성과 효능에 따라 허가 등급을 달리하고 있다.

영국은 의약품 및 건강관리 제품 규제 기관(MHRA)에서 지정 승인 기관이나 지정된 공인 인증기관에서 부여한 유럽 공통인증(CE) 마크를 통해 디지털치료기기의 적합도를 검증하고 있다. 또 영국은 자체 의료기기 등급 마크인 UKCA를 단계적으로 도입하고 있다.

독일의 경우 유럽연합(EU)에서 지정한 공인 인증기관(36개)의 CE마크 부여를 통해 디지털치료기기의 적합성을 평가한다. 디지털 헬스 기기 제조업체는 자체 평가를 통해 위험 분류를 완료해 필요한 CE 마크의 수준을 결정하는 방식이다.

한국도 식품의약품안전처에서 디지털 헬스 기기의 해킹 사고 예방을 위한 가이드라인을 만들고, 지난 2021년부터 디지털 헬스 기기 TF를 운영하고 있다. 해당 TF는 디지털 헬스 기기의 사이버 보안 예방 정책을 펼치고 있다.

보안 전문가 “해킹 수법, 수시로 진화…신속한 대응력 갖춰야”

보안 전문가들은 정부의 노력과 별개로 제조업체 역시 해킹 사고 예방에 만전을 기해야 한다고 제언했다. 네트워크로 연결이 쉬워진 만큼 해킹 역시 쉬워졌다는 경각심을 가져야 한다는 것이다. 또 수시로 보안 취약성을 점검하는 노력도 게을리하지 말아야 한다고 밝혔다.

이호석 SK쉴더스 EQST(Experts, Qualified Security Team) 팀장은 “수시로 보안 취약성을 심의해 관련 취약성을 제거하는 것이 최우선”이라며 “또 계속 신규 해킹 수법이 나오기 때문에 기존 대응 기술도 이에 맞춰 변화를 줘야 한다”고 말했다.

◎공감언론 뉴시스 [email protected]