메드섹, 머디워터스 vs. 세인트 주드 사건 결론 나는 듯

[보안뉴스 문가용] 미국의 국가 건강 정보 공유 및 분석 센터(NH-ISAC)와 의료 기기 혁신 안전 및 보안 컨소시엄(MDISS)이 지난 화요일 공동 성명서를 발표했다. 의료 기기 분석가들에게 발하는 것으로 ISO/IEC 표준 및 미국 식약청(FDA)이 정한 기준에 따라 취약점을 공개해달라는 내용이었다.



이는 얼마 전 메드섹(MedSec)이라는 보안 기술 분석 업체가 머디워터스(Muddy Waters)라는 리서치 업체와 함께 의료기기 생산업체인 세인트 주드 메디컬(St. Jude Medical)의 취약점을 공개하면서 주식을 매도한 사건과 관련이 있다.

당시 메드섹은 머디워터스와 함께 세인트 주드의 이식형 심장박동기의 치명적인 취약점을 세인트 주드에게 알리지 않고 공개했다. 물론 익스플로잇이 가능하도록 세세하게 모든 내용을 공개한 건 아니지만, 보통 제조사 측에 먼저 세부사항을 알려 패치를 기다렸다고 공개하는 관례가 깨진 사례가 되었다.

MDISS의 최고 책임자인 데일 노든버그(Dale Nordenberg) 박사는 이번 성명서를 통해 “환자의 안전과 관련된 기기의 보안 취약점을 공개할 때는 생산자, ICS-CERT, 식약청 등의 검토를 받아서 환자를 최우선으로 보호할 수 있는 조치를 취한 후에 공개해야 한다”고 말했다.

한편 FDA는 이미 “시판 후 의료기기 사이버 보안 관리 지침서”를 지난 1월에 작성해 발표한 바 있다. 이번 주 성명서를 발표한 NH-ISAC과 MDISS는 이 지침서에 대한 교육 워크샵도 이번 달 말부터 진행할 예정이라고 밝혔다. 워크샵은 세인트 주드 메디컬에서 진행된다. 이로써 취약점은 패치 이후에 공개한다는 원칙이 다시 한 번 강조되었다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>