최근 GE 헬스케어가 인기 있는 Vivid T9 초음파 기기를 사용하는 의료 시설을 위해 완화 지침을 발표했다. 이는 사이버 보안 회사 노조미 네트웍스 연구원들이 11개의 주요 보안취약점을 발견한 후 이루어진 조치다. 이번 주에 공개된 이 취약점들은 악성 소프트웨어 설치 및 민감한 환자 데이터에 대한 무단 접근 등 심각한 위험을 초래할 수 있다.

발견된 취약점은 Vivid T9 초음파 시스템, 미리 설치된 Common Service Desktop 웹 애플리케이션, 그리고 초음파 영상을 보기 위한 EchoPAC 소프트웨어에 영향을 미쳤다. 특히 이 중 7개의 취약점은 CVSS(공통 취약점 점수 시스템)에서 7점을 초과하는 높은 심각도 점수를 받았다.

노조미 연구원들은 이러한 결함이 악성 행위자가 관리 권한을 획득해 랜섬웨어를 설치하거나 환자 데이터를 무단으로 조작할 수 있게 한다고 밝혔다. 연구자들이 증명한 개념 증명에서는 Vivid T9 시스템을 잠그고 화면에 몸값 요구 메시지를 표시하며 이 취약점을 악용해 기기 작동을 방해할 수 있음을 보여주었다.

이 취약점을 악용하려면 초음파 기기에 대한 물리적 상호 작용이 필요하다. 공격자는 Vivid T9 시스템에 내장된 키보드와 트랙패드를 이용해야 한다. 이 시스템은 GE 헬스케어가 커스터마이징한 윈도우10 버전을 사용하고 있다. 물리적 접근이 필요하다는 점은 의료 시설 대부분 기기에 무단으로 접근할 수 없는 통제된 환경에 보관하고 있어 그나마 다행스런 부분이다. 

GE 헬스케어는 이러한 발견에 대해 신속하게 대응하여 노조미와 긴밀히 협력해 문제를 조사하고 해결했다고 밝혔다. GE 헬스케어 대변인은 현재까지 이 취약점이 악용되었다는 보고를 받지 않았다고 강조했다. 회사는 이번 문제에 대한 완화 조치와 효과적인 통제를 포함한 두 개의 권고 사항을 발표했다.

회사 측은 “우리는 여러 초음파 시스템의 잠재적인 사이버 보안 취약점을 최근에 공개했으며, 이를 통해 시스템이 사용할 수 없게 되거나 제한된 환자 정보가 공개될 수 있다”며 "이 문제에 대한 철저한 조사를 실시했고 기존의 완화 조치와 통제가 효과적임을 확인했다.”고 전했다.

회사는 영향을 받은 기기와 소프트웨어를 리콜하지는 않을 것이며, 대신 의료 시설은 제공된 완화 지침을 따라 보안 조치를 강화하고 잠재적 악용에 대비할 것을 권장했다.

의료 기기 산업은 소프트웨어 및 하드웨어 취약점을 해결하라는 압박을 점점 더 많이 받고 있으며, 2023년 미국 의료 부문 정보 공유 조직인 Health-ISAC의 보고서에 따르면 의료 제품에서 거의 1,000개의 버그가 발견되었다.

초음파 시스템과 같은 의료 기기는 임상 환경에서 중요한 역할을 하지만, 이들의 복잡성 증가와 IT 인프라와의 통합은 사이버 공격자의 표적이 되고 있다. 환자 데이터를 보호하고 이러한 중요한 도구의 기능을 유지하기 위해서는 견고한 보안 조치를 확보하는 것이 필수적이다.

GE 헬스케어 초음파 기기를 사용하는 의료 시설은 회사의 지침에 따라 다음과 같은 조치를 구현해야 한다.

1. 물리적 접근 보안: 초음파 기기를 안전한 환경에 배치하여 승인된 인원만 접근할 수 있도록 해야 한다.
2. 소프트웨어 업데이트 적용: GE 헬스케어에서 제공하는 최신 소프트웨어 패치와 보안 업데이트를 정기적으로 적용해야 한다.
3. 기존 보안 기능 활성화: 내장된 보안 기능과 구성을 활용하여 기기의 방어력을 강화해야 한다.
4. 기기 활동 모니터링: 기기에서 의심스러운 활동을 탐지하고 대응할 수 있는 모니터링 체계를 마련해야 한다.  

제공된 지침을 따르면 의료 시설은 사이버 보안 태세를 강화하여 초음파 시스템과 이를 처리하는 민감한 환자 데이터의 안전과 무결성을 보장할 수 있다.

자세한 완화 지침을 위해 의료 전문가와 IT 관리자는 GE 헬스케어에서 발표한 권고 사항을 참조하고 의료 기기 보안의 최신 동향에 대한 정보를 지속적으로 업데이트해야 보안사고를 예방할 수 있다.