책임감 있는 취약점 공개의 불문율 어긴 것일까? 논쟁 불 붙어
일부선 “환자 생명 존중 없었다” vs. “장기적으론 IoT가 더 안전해질 것”
[보안뉴스 문가용] “책임감 있는 취약점 공개”에 대한 논란이 한창 뜨거웠다가 근 1년 사이에는 잠잠하나 싶더니 최근 다시 불이 붙었다. 지난 주 사이버 보안 업체인 메드섹(MedSec)과 리서치 전문업체인 머디 워터스(Muddy Waters)가 의료기기 업체인 세인트 주드 메디컬(St. Jude Medical)의 주식을 헐값에 팔면서 STM의 심박 조율기, 삽입형 제세동기, Merlin@Home의 모니터링 기기의 취약점을 공개한 것이 계기였다. 세인트 주드의 주가는 떨어졌고, 메드섹은 반사이익을 거뒀다. 이 사건은 취약점 공개는 물론 IoT 보안의 미래에 대한 중대한 질문을 던지며 파문을 일으켰다.
.jpg)
그랬어야만 했나?
메드섹의 CEO인 저스틴 본(Justine Bone)은 블룸버그와의 인터뷰에서 취약점 공개가 어쩔 수 없는 선택이었다는 식으로 말했다. “세인트 주드 메디컬은 여러 보안 이슈를 알고도 무시해온 역사가 깊습니다. 전혀 보완할 생각을 하지 않았죠. 여러 연구원들이 과거에도 기기들의 결함을 알려주고 패치할 것을 촉구했습니다. 국토안보부와 식약청이 말을 해도 요지부동이었죠. 그래서 저희는 매각에 앞서 정상적인 대화를 시도해봤자 별다른 효과가 없을 것이라고 봤습니다.”
심박 조율기의 취약점은 2012년 바너비 잭(Barnaby Jack)이란 전문가가 발견한 것으로 ‘상당히 많은 제조사들이 이 취약점을 가진 기기를 생산하고 있다’고 알려졌다. 아직까지도 정확한 브랜드 및 기업명이 밝혀지지 않고 있다. 바너비 잭이 블랙햇 2013년 해당 취약점에 대해 강연을 할 예정이었으나 갑작스럽게 사망했기 때문이다.
하지만 세인트 주드 메디컬의 기기 및 시스템들에서 발견된 취약점들엔 CVE 번호가 붙지 않고 있다. 식약청에서 세인트 주드 측에 발행한 경고문에도 사이버 보안 문제에 대해서는 언급이 없다. 또한 세인트 주드는 취약점 공개 프로그램을 웹 사이트 상에서 활발히 운영 중에 있다. 이는 최근 의학 산업의 기관들에서 도입하기 시작한 것이다.
메드섹과 머디 워터스의 대변인 한 명은 세인트 주드의 취약점에 대한 보고서를 식약청에 보냈으며 “공개 보고서가 발표되기 하루 전에 이메일 발송이 이루어졌을 것”이라고 말했다. 하지만 식약청에 의하면 해당 보고서는 공개가 이루어진 당일 아침에 도착했다고 설명하며, 대중에게 공개된 보고서와 동일한 내용이었다고 말했다.
이는 현재 세인트 주드 메디컬이 가진 취약점에 대해 상세히 알고 있다고 주장하는 것이 메드섹 뿐이라는 뜻이 된다. 즉 한쪽이 일방적으로 다른 한쪽에게 취약점이 있다고 대중에게 발표해버린 것. 그래서 현재 미국 식약청과 국토안보부는 해당 사건을 별도로 조사 중에 있다. 미시건대학 의료기기 보안센터의 케빈 푸(Kevin Fu)교수는 “메드섹 측의 자료를 불신한다는 뜻이 아니라 더 살펴볼 여지가 있어서 수사를 진행하는 것”이라고 설명했다. 아직 결과는 발표되지 않았다.
일부 사이버 전문가는 메드섹의 움직임에 대해 “필요했다”는 의견이다. “책임감 있게 혹은 조심스럽게 취약점을 공개한다는 원칙이 항상 들어맞지는 않습니다”라고 IO액티브(IOActive)의 보안 연구원인 케사르 세루도(Cesar Cerrudo)는 설명한다. “솔직히 말하면 들어맞지 않을 때가 더 많은 게 사실이죠.”
윤리적인 결정이었나?
이번 공개의 윤리성을 생각할 때 물어야 할 질문은 크게 두 가지다. 1) 메드섹은 환자들이 겪을 지도 모르는 신체적, 금전적 피해에 대해서 생각했나? 2) 취약점 패치를 도우려는 노력 없이 다른 회사의 취약점을 공개해 반사이익을 얻는 것이 올바른 일인가?
의료 관련 소비자 비용문제를 다루는 헬스케어 블루북(Healthcare Bluebook)에 따르면 미국에서 의료보험을 가지고 있는 환자가 심박 조율기 삽입에 지불해야 할 ‘공정한 비용’이 25,924 달러라고 한다. ICD 삽입은 64,278 달러가 적당하다. 실제로는 지역, 보험의 종류, 병원에 따라 헬스케어 블루북이 제시하는 것보다 더 내는 게 보통이다. 만약 임플란트 된 의료기기를 취약점과 같은 이유로 리콜해야 한다면? 보험 업체들은 기기 제조사들에게 일부 금액을 환자들에게 돌려주라고 강요한다. ‘일부’일뿐이다.
마리 모(Marie Moe)는 심박 조율기 사이버 보안 전문가이기도 하면서 스스로도 심박 조율기를 사용하고 있는 환자다. “난 내 심장을 해킹하는 사람”이라고 설명하는 마리 모는 “이번 메드섹의 조치에 매우 화가 난다”고 말했다. “환자의 안전 문제는 전혀 고려치 않은 결정이거든요. 자신들의 수익을 높이고자 공포감을 조성하는 전략을 썼고, 이 공포감은 고스란히 환자들의 것이었죠. 솔직히 돈 때문에 그런 결정을 내릴 수 있었다는 게 충격적입니다.” 심박 조율기 사용 환자들 대부분 비슷한 심정이라고 그녀는 설명했다.
또 다른 의료 기기 보안 전문가인 조시 코르만(Josh Corman)은 “보건 및 인간의 생명을 보호하고 아낀다는 사람들이라면 그 어떤 경우라도 환자가 위험에 처해질 수 있는 결정을 내려서는 안 된다”고 지적했다. 하지만 세루도는 “취약점의 세세한 내용은 공개하지 않았는데, 왜들 그렇게 화를 내는지 모르겠다”고 반박한다. 이번에 공개한 내용이 실제적으로 환자의 생명을 위협할 정도의 수위는 아니라는 것이다.
사물인터넷 보안과는 무슨 상관?
코르만은 “기기 제조사, 관련 정부 기관, 보안 전문가들이 힘을 모아 의료기기뿐 아니라 사물인터넷 전반에 대한 보안을 연구하고 있었고 눈에 띄는 발전도 있었다”며 “하지만 그런 모든 노력이 한 사기업의 갑작스런 돌발행동 때문에 물거품이 되었다”고 비난한다. “사물인터넷 보안이란 건 아직 미지의 분야입니다. 관련된 모든 자들이 함께 안전망을 구축하려면 서로에 대한 신뢰가 바탕이 되어야 하는데, 메드섹과 같은 무분별한 취약점 공개는 이 신뢰를 깎아내리죠. 시계를 다시 처음으로 되돌리는 꼴입니다.”
취약점을 공개함으로써 이득을 본 선례가 생겼으므로 다른 기업들이 비슷한 행동을 하지 말라는 법이 없다는 게 가장 큰 걱정이라고 코르만은 설명한다. “그리고 이는 ‘위험한 사물인터넷’을 사용할 수밖에 없는 상황으로 이어지겠죠. 결국 고스란히 사용자 한 사람 한 사람에게 해가 됩니다.”
하지만 세루도는 “더 지켜봐야 한다”며 “결과에 따라 긍정적인 효과가 나타날 수도 있다”고 설명한다. “세인트 주드가 이번 일로 취약점을 고치고 자신들이 잘 못했던 부분을 수정해나간다면, 메드섹의 행동은 오히려 약이 되는 것이죠. 사이버 취약점을 미리미리 고치지 않았다가는 세인트 주드처럼 손해를 볼 수 있다는 선례가 남으면 오히려 의료기기 및 사물인터넷이 더 안전해지지 않을까요?”
중요한 건 메드섹이 이번 사건으로 얻을 실질적인 이득이 얼마나 될 것이냐다. 이 금액에 따라 이번 사건이 ‘이득을 취하는 법’에 대한 선례가 될 수도 있고 ‘보안을 강화하는 법’에 대한 선례가 될 수도 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
일부선 “환자 생명 존중 없었다” vs. “장기적으론 IoT가 더 안전해질 것”
[보안뉴스 문가용] “책임감 있는 취약점 공개”에 대한 논란이 한창 뜨거웠다가 근 1년 사이에는 잠잠하나 싶더니 최근 다시 불이 붙었다. 지난 주 사이버 보안 업체인 메드섹(MedSec)과 리서치 전문업체인 머디 워터스(Muddy Waters)가 의료기기 업체인 세인트 주드 메디컬(St. Jude Medical)의 주식을 헐값에 팔면서 STM의 심박 조율기, 삽입형 제세동기, Merlin@Home의 모니터링 기기의 취약점을 공개한 것이 계기였다. 세인트 주드의 주가는 떨어졌고, 메드섹은 반사이익을 거뒀다. 이 사건은 취약점 공개는 물론 IoT 보안의 미래에 대한 중대한 질문을 던지며 파문을 일으켰다.
그랬어야만 했나?
메드섹의 CEO인 저스틴 본(Justine Bone)은 블룸버그와의 인터뷰에서 취약점 공개가 어쩔 수 없는 선택이었다는 식으로 말했다. “세인트 주드 메디컬은 여러 보안 이슈를 알고도 무시해온 역사가 깊습니다. 전혀 보완할 생각을 하지 않았죠. 여러 연구원들이 과거에도 기기들의 결함을 알려주고 패치할 것을 촉구했습니다. 국토안보부와 식약청이 말을 해도 요지부동이었죠. 그래서 저희는 매각에 앞서 정상적인 대화를 시도해봤자 별다른 효과가 없을 것이라고 봤습니다.”
심박 조율기의 취약점은 2012년 바너비 잭(Barnaby Jack)이란 전문가가 발견한 것으로 ‘상당히 많은 제조사들이 이 취약점을 가진 기기를 생산하고 있다’고 알려졌다. 아직까지도 정확한 브랜드 및 기업명이 밝혀지지 않고 있다. 바너비 잭이 블랙햇 2013년 해당 취약점에 대해 강연을 할 예정이었으나 갑작스럽게 사망했기 때문이다.
하지만 세인트 주드 메디컬의 기기 및 시스템들에서 발견된 취약점들엔 CVE 번호가 붙지 않고 있다. 식약청에서 세인트 주드 측에 발행한 경고문에도 사이버 보안 문제에 대해서는 언급이 없다. 또한 세인트 주드는 취약점 공개 프로그램을 웹 사이트 상에서 활발히 운영 중에 있다. 이는 최근 의학 산업의 기관들에서 도입하기 시작한 것이다.
메드섹과 머디 워터스의 대변인 한 명은 세인트 주드의 취약점에 대한 보고서를 식약청에 보냈으며 “공개 보고서가 발표되기 하루 전에 이메일 발송이 이루어졌을 것”이라고 말했다. 하지만 식약청에 의하면 해당 보고서는 공개가 이루어진 당일 아침에 도착했다고 설명하며, 대중에게 공개된 보고서와 동일한 내용이었다고 말했다.
이는 현재 세인트 주드 메디컬이 가진 취약점에 대해 상세히 알고 있다고 주장하는 것이 메드섹 뿐이라는 뜻이 된다. 즉 한쪽이 일방적으로 다른 한쪽에게 취약점이 있다고 대중에게 발표해버린 것. 그래서 현재 미국 식약청과 국토안보부는 해당 사건을 별도로 조사 중에 있다. 미시건대학 의료기기 보안센터의 케빈 푸(Kevin Fu)교수는 “메드섹 측의 자료를 불신한다는 뜻이 아니라 더 살펴볼 여지가 있어서 수사를 진행하는 것”이라고 설명했다. 아직 결과는 발표되지 않았다.
일부 사이버 전문가는 메드섹의 움직임에 대해 “필요했다”는 의견이다. “책임감 있게 혹은 조심스럽게 취약점을 공개한다는 원칙이 항상 들어맞지는 않습니다”라고 IO액티브(IOActive)의 보안 연구원인 케사르 세루도(Cesar Cerrudo)는 설명한다. “솔직히 말하면 들어맞지 않을 때가 더 많은 게 사실이죠.”
윤리적인 결정이었나?
이번 공개의 윤리성을 생각할 때 물어야 할 질문은 크게 두 가지다. 1) 메드섹은 환자들이 겪을 지도 모르는 신체적, 금전적 피해에 대해서 생각했나? 2) 취약점 패치를 도우려는 노력 없이 다른 회사의 취약점을 공개해 반사이익을 얻는 것이 올바른 일인가?
의료 관련 소비자 비용문제를 다루는 헬스케어 블루북(Healthcare Bluebook)에 따르면 미국에서 의료보험을 가지고 있는 환자가 심박 조율기 삽입에 지불해야 할 ‘공정한 비용’이 25,924 달러라고 한다. ICD 삽입은 64,278 달러가 적당하다. 실제로는 지역, 보험의 종류, 병원에 따라 헬스케어 블루북이 제시하는 것보다 더 내는 게 보통이다. 만약 임플란트 된 의료기기를 취약점과 같은 이유로 리콜해야 한다면? 보험 업체들은 기기 제조사들에게 일부 금액을 환자들에게 돌려주라고 강요한다. ‘일부’일뿐이다.
마리 모(Marie Moe)는 심박 조율기 사이버 보안 전문가이기도 하면서 스스로도 심박 조율기를 사용하고 있는 환자다. “난 내 심장을 해킹하는 사람”이라고 설명하는 마리 모는 “이번 메드섹의 조치에 매우 화가 난다”고 말했다. “환자의 안전 문제는 전혀 고려치 않은 결정이거든요. 자신들의 수익을 높이고자 공포감을 조성하는 전략을 썼고, 이 공포감은 고스란히 환자들의 것이었죠. 솔직히 돈 때문에 그런 결정을 내릴 수 있었다는 게 충격적입니다.” 심박 조율기 사용 환자들 대부분 비슷한 심정이라고 그녀는 설명했다.
또 다른 의료 기기 보안 전문가인 조시 코르만(Josh Corman)은 “보건 및 인간의 생명을 보호하고 아낀다는 사람들이라면 그 어떤 경우라도 환자가 위험에 처해질 수 있는 결정을 내려서는 안 된다”고 지적했다. 하지만 세루도는 “취약점의 세세한 내용은 공개하지 않았는데, 왜들 그렇게 화를 내는지 모르겠다”고 반박한다. 이번에 공개한 내용이 실제적으로 환자의 생명을 위협할 정도의 수위는 아니라는 것이다.
사물인터넷 보안과는 무슨 상관?
코르만은 “기기 제조사, 관련 정부 기관, 보안 전문가들이 힘을 모아 의료기기뿐 아니라 사물인터넷 전반에 대한 보안을 연구하고 있었고 눈에 띄는 발전도 있었다”며 “하지만 그런 모든 노력이 한 사기업의 갑작스런 돌발행동 때문에 물거품이 되었다”고 비난한다. “사물인터넷 보안이란 건 아직 미지의 분야입니다. 관련된 모든 자들이 함께 안전망을 구축하려면 서로에 대한 신뢰가 바탕이 되어야 하는데, 메드섹과 같은 무분별한 취약점 공개는 이 신뢰를 깎아내리죠. 시계를 다시 처음으로 되돌리는 꼴입니다.”
취약점을 공개함으로써 이득을 본 선례가 생겼으므로 다른 기업들이 비슷한 행동을 하지 말라는 법이 없다는 게 가장 큰 걱정이라고 코르만은 설명한다. “그리고 이는 ‘위험한 사물인터넷’을 사용할 수밖에 없는 상황으로 이어지겠죠. 결국 고스란히 사용자 한 사람 한 사람에게 해가 됩니다.”
하지만 세루도는 “더 지켜봐야 한다”며 “결과에 따라 긍정적인 효과가 나타날 수도 있다”고 설명한다. “세인트 주드가 이번 일로 취약점을 고치고 자신들이 잘 못했던 부분을 수정해나간다면, 메드섹의 행동은 오히려 약이 되는 것이죠. 사이버 취약점을 미리미리 고치지 않았다가는 세인트 주드처럼 손해를 볼 수 있다는 선례가 남으면 오히려 의료기기 및 사물인터넷이 더 안전해지지 않을까요?”
중요한 건 메드섹이 이번 사건으로 얻을 실질적인 이득이 얼마나 될 것이냐다. 이 금액에 따라 이번 사건이 ‘이득을 취하는 법’에 대한 선례가 될 수도 있고 ‘보안을 강화하는 법’에 대한 선례가 될 수도 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
