맥아피 사이버 보안 연구원은 비비라운의 의료용 인퓨전 약물 주입펌프 의료기기에서 위협 행위자가 약물 복용량을 변경하기 위해 악용할 수 있는 5가지 제로데이 취약점을 발견했다고 밝혔다.

시큐리티어페어스 보도에 따르면, 이 취약점은 장치가 대기 모드에 있는 동안 펌프 구성을 수정하기 위해 연결될 수 있으며, 이로 인해 다음에 사용할 때 환자에게 예상치 못한 용량의 약물이 투입될 수 있는 취약점이다. 더욱 위험한 것은 공격자는 공격을 수행하기 위해 인증이 필요하지 않다는 점이다.

연구원은 "이 취약점을 성공적으로 악용하면 정교한 공격자가 Space 또는 Compactplus 통신 장치의 보안을 손상시켜 공격자가 권한을 상승시키고 민감한 정보를 획득해 임의의 파일을 업로드하고 원격 코드 실행을 수행할 수 있다”고 전했다.

특정 조건에서 해당 취약점을 악용하면 공격자가 Space 및 compactplus 제품군에서 연결된 주입 펌프 Perfusor®, Infusomat®, Infusomat® P의 구성을 변경할 수 있게 된다.

정상적인 작동 조건에서 공격자는 로컬 네트워크에 액세스할 수 있는 방법을 찾아야 공격이 가능하다.

전문가들은 공격자가 로컬 네트워크에 접근하는 것이 어렵지 않다고 강조하며 병원이나 의료 시설은 공격자가 침투하기에 그리 어렵지 않은 보안환경 이라고 주의를 당부했다.

맥아피 연구원들은, 의료진은 이러한 장치를 사용할 때 의사의 지시에 따라 주입량 숫자가 일치하는지 각별한 주의를 기울여야 한다고 덧붙였다.

또 의료기관 무선 네트워크는 다중 요소 인증 및 산업 표준 암호화 및 IDS(침입 탐지 시스템) 및 또는 IPS(침입 방지 시스템)를 갖추고 있어야 한다고 강조했다.

★정보보안 대표 미디어 데일리시큐!★