최근 중국에서 제조된 인기 의료 모니터가 사이버 위험 가능성으로 주목받고 있다. 그러나 이 장치만이 우려의 대상이 아니다. 전문가들은 미국 의료 시스템에서 중국 의료 기기의 확산이 전체 생태계에 큰 우려를 낳고 있다고 경고하고 있다.
Contec CMS8000은 환자의 생체 신호를 추적하는 인기 있는 의료 모니터로, 심전도, 심박수, 혈중 산소 포화도, 비침습적 혈압, 체온, 호흡률 등을 모니터링한다. 최근 몇 달 동안 FDA와 사이버 보안 및 인프라 보안청(CISA)은 이 장치에 “백도어”가 존재한다고 경고했다. 이는 악의적인 행위자가 장치의 구성을 변경할 수 있는 “쉽게 악용될 수 있는 취약점”이다.
CISA의 연구팀은 장치가 “비정상적인 네트워크 트래픽”을 발생시키고 있으며, “인증되지 않은 원격 파일을 다운로드하고 실행할 수 있는” 백도어가 존재한다고 설명했다. 이는 일반적으로 수용되는 관행에 위배되는 “매우 특이한 특성”으로, 의료 기기에서는 용납될 수 없는 특징이다.
CISA는 기능이 실행될 때 장치의 파일이 강제로 덮어쓰여져 병원과 같은 최종 고객이 장치에서 어떤 소프트웨어가 실행되고 있는지를 인식하지 못하게 된다고 언급했다. 이러한 구성 변경은 예를 들어, 모니터가 환자의 신장이 이상 작동하고 있다고 보고하거나 호흡이 실패하고 있다고 알릴 수 있으며, 이는 의료진이 불필요한 치료를 시행하게 할 수 있다.
Contec의 취약성은 오랫동안 의료 기기 보안이 너무 느슨하다고 경고해온 의료 및 IT 전문가들에게 놀라운 일이 아니다.
병원들은 사이버 위험에 대해 심각한 우려를 표하고 있다. 예를 들어, 캘리포니아의 웨스트클리프 대학교 IT 및 파괴적 기술 전문가인 크리스토퍼 카우프만은 “이것은 곧 터질 엄청난 격차”라고 강조하며, 많은 의료 기기의 보안 격차를 언급했다. 미국 병원 협회(AHA)는 5,000개 이상의 병원과 클리닉을 대표하며, 중국 의료 기기의 확산이 시스템에 심각한 위협이 된다고 보고하고 있다.
AHA에 따르면 Contec 모니터의 문제는 시급히 해결해야 할 사항이며, “환자에게 해를 끼칠 잠재력에 대해 가장 우선적으로 다뤄야 한다. 해킹되기 전에 패치를 해야 한다”고 주장했다. 현재 CISA는 이 위험을 완화할 수 있는 소프트웨어 패치가 없다고 보고하고 있으나, 정부는 Contec과 협력하고 있다고 밝혔다.
중국 칭황다오에 본사를 둔 Contec은 논평 요청에 응답하지 않았다. 그러나 미국 내 모니터의 수가 얼마나 되는지는 불명확하다. AHA의 리기 본부장은 “병원에 있는 장비의 양이 방대해 몇 관리도 할 수 없어, 수천 개가 있는 것으로 보인다”며 이는 매우 치명적인 취약점이라고 강조했다.
FDA는 단기적으로 의료 시스템과 환자에게 장치가 로컬에서만 작동하도록 하거나 원격 모니터링 기능을 비활성화할 것을 권고하고 있으며, 원격 모니터링이 유일한 옵션인 경우 대체 장치가 있을 경우 사용을 중단하도록 권장하고 있다. 현재까지 FDA는 이 취약성과 관련된 사이버 사건, 부상 또는 사망 사례를 인지하고 있지 않다.
리기 본부장은 Contec 모니터가 의료 기기 위험을 간과하기 쉬운 대표적인 사례일 뿐만 아니라, 해외에서 생산된 다양한 의료 장비로 그 범위가 확장된다고 설명했다. 자금이 부족한 미국 병원들은 종종 중국에서 제조된 의료 기기를 구매하며, 이로 인해 미국의 중요 인프라에 파괴적인 악성 소프트웨어를 설치한 적이 있는 국가에 위험을 노출하게 된다.
카우프만은 또한 정부의 효율성 부서가 이러한 기기를 보호하는 부서를 축소하고 있다고 경고했다.