심박동기를 포함한 메드트로닉의 심장 장치(Cardiac Device)가 해커 공격에 노출된 것이 확인됐다. 국내에는 해킹당한 시스템이 도입되지 않아 큰 문제로 발전될 가능성은 없을 전망이다.

메드트로닉은 최근 헤커가 ‘페이스아트 옵티마 시스템(Paceart Optima System)’에 저장된 환자의 데이터에 접근할 수 있는 취약점을 확인했다고 밝혔다.  메드트로닉은 정기적으로 진행하는 모니터링 중에 발견, 연방 사이버 보완 및 기반 시설 보안국(Cybersecurity and Infrastructure Security Agency, CISA)에 보고하고 대책 마련에 나섰다.

페이스아트 옵티마는 환자의 심장 장치 데이터를 효율적으로 편집하고 관리하는 워크플로우 솔루션으로 환자의 정보를 저장, 수집 및 보관이 가능하다. 더 나아가 원격 모니터링도 가능하게 해 준다.

해당 시스템은 메드트로닉뿐 아니라 애보트(Abbott)와 보스톤 사이언티픽(Boston Scientific) 등의 회사에서 제조한 제품 정보까지 한 번에 저장이 가능한 만큼, 연쇄적인 피해가 발생할 수 있었다.

메드트로닉코리아는 5일 국내에는 문제가 발생한 페이스아트 옵티마 시스템이 도입돼 있지 않다고 밝혔다.

관계자는 “국내에선 아직 법제적 기반이 마련되지 않아 원격 의료 시스템이 활용되지 못하고 있는 상황이며, 병원과 연동돼 환자의 데이터를 종합적으로 관리하는 플랫폼이 없다”고 설명했다. 이어 “향후 발생할 수 있는 문제에 관해선 지속적인 모니터링을 진행할 예정”이라며 “현재 국내에선 문제가 되는 부분은 없다”고 강조했다.

메드트로닉이 지난달 30일 게시한 보안 공지에 따르면, 이번 사이버 보안 결함은 페이스아트 옵티마 기술에 내장된 메시징 기능과 관련이 있다. 메시징 기능이 활성화되면 헤커가 시스템에 저장된 데이터에 접근해 수집, 수정 및 삭제까지 할 수 있다. 또한 페이스아트 시스템은 병원 서버와 연동돼 있는 만큼, 해당 시스템의 해킹을 통해 원격 의료를 제공하고 있는 병원의 모든 시스템까지 해킹에 노출될 수 있었다.

그나마 다행인 부분은 의료 서비스 제공자가 메시지 기능을 활성화하지 않을 경우 취약점이 드러나지 않고, 메시징 기능도 기본적으로는 활성화되지 않는다는 것이다.

메드트로닉은 메시징 서비스 기능을 제거해 취약점을 보완하는 소프트웨어 업데이트를 진행한다고 밝혔다. 페이스아트 옵티마 기술을 활용하는 모든 병원 및 의료계 종사자는 ‘1.12 버전’ 업데이트를 통해 문제를 해결할 수 있다는 것이 회사측 설명이다. 이와 더불어 업데이트가 완료될 때까지 회사는 메시징 서비스 기능을 비활성화 하는 방법을 홈페이지를 통해 공유했다.

메트로닉의 보안 취약점이 드러난 것이 이번이 처음이 아니다. 2019년 미국 식품의약국(FDA)은 메드트로닉의 인슐린 펌프 일부가 보안 취약점이 있다고 경고했다. FDA는 “인슐린 펌프에서 환자, 간병인, 의료진이 아닌 다른 사람이 인슐린 펌프에 무선으로 연결해 펌프 설정을 변경하는 등 보안 위험이 있었다”고 지적했고 관련제품 사용 환자들에게 안전성 서한을 발송했다. 당시 국내에서도 128명의 환자가 사용하는 제품이 그 대상인 것으로 파악됐다.

한편, 최근 고도화된 케넥티드(Connected) 의료기기들이 증가함에 따라 해킹 위험도도 함께 높아지고 있는 것으로 나타났다. 메트로닉의 사례는 ‘해커가 인공심장박동기를 멈추게 할 수도 있다’는 보안 전문가들의 경고가 현실화되고 있음을 보여준다.  이에 국내는 물론 전 세계적으로 최첨단 사이버 보안을 보강하는 데 자원을 지속적으로 투자하고 있다.

식품의약품안전처도 올해 3번의 업무설명회를 통해 사이버보안의 중요성을 알리고 있다. 지난 3월에는 전기 사용 의료기기에 대한 설명회를 개최했으며, 7월에는 독립형 소프트웨어와 11월에는 장치와 모바일앱 조합 기기에 대한 사이버보안에 관련된 설명회를 개최할 예정이다.