머디 워터스, 세인트 주드 심장 관련 장비 공격방법 동영상으로 공개
세인트 주드는 새로운 보안 자문위원회 구성...누가 옳은가?
[보안뉴스 문가용 기자] 주식 시장에서 부당이득을 취하기 위해 의료기기의 취약점을 공개했다며 윤리 논란에 휩싸인 머디 워터스(Muddy Waters)가 새로운 웹 사이트인 profitsoverpatients.com을 열었다. 해당 웹 주소를 번역하면 ‘환자보다는 이윤 닷컴’ 정도가 된다. 그리고 여기에 세인트 주드 메디컬(St. Jude Medical)의 기기의 취약점에 대한 영상 자료를 업로드하기 시작했다.
머디 워터스는 지난 달 비윤리적인 취약점 공개로 엄청난 비난을 받은 바 있다. 보통 보안 취약점은 발견자가 제조사 등에 먼저 알려서 조치를 취한 후 공개하는 게 일반적이다. 고치지 않고 취약점을 공개하면 누군가 해당 취약점을 악용해 공격을 할 수 있기 때문이다.
하지만 머디 워터스는 “세인트 주드는 취약점을 고칠 의사가 없다”며 자신들이 발견한 취약점을 먼저 공개했다. 그리고 주가가 떨어진 세인트 주드의 주식을 공매했다. ‘환자보다는 이윤’이라는 이름으로 웹 사이트를 신설한 것 역시 ‘세인트 주드가 취약점을 수정해 환자를 안전하게 보호하기 보다는 이윤을 늘리기에 정신이 없다’는 주장을 하기 위한 것으로 보인다.
현재 이 웹 사이트에는 네 가지 영상이 올라와있다. 각각 shock-on-T, 비상 쇼크, ICD 진동, 빠른 치료 비활성화 공격에 대한 내용을 담고 있다. 세인트 주드는 이에 대해 “심장 박동 장치를 비롯한 여러 의학 기기들에 대한 취약점을 계속해서 공개해서 얻을 수 있는 이득이 뭔지 모르겠다”며 “머디 워터스는 세인트 주드의 기기 전체에 대한 불안감과 공포만 확산시키며 자신들의 금전적인 이득만 노리고 있다”고 비판했다.
한편 세인트 주드는 사이버 보안 강화로 환자를 보호하겠다는 노력의 일환으로 사이버보안의료자문회(Cyber Security Medical Advisory Board)를 구성한다는 발표를 했다. 해당 자문회는 세인트 주드의 개발 및 연구팀과 호흡을 맞춰 기기들의 보안 문제를 해결할 것이라고 세인트 주드의 대변인은 발표했다.
진짜 환자보다 이윤을 더 우위에 놓고 있는 쪽은 어디일까? 비난을 감수하고 세인트 주드 의료 기기의 취약점을 알렸지만 주식도 좀 챙긴 머디 워터스일까? 아니면 머디 워터스가 대부분의 비난을 받아주는 동안 그 동안 취약점 관리를 게을리 했던 과거가 묻힌 세인트 주드일까?
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
세인트 주드는 새로운 보안 자문위원회 구성...누가 옳은가?
[보안뉴스 문가용 기자] 주식 시장에서 부당이득을 취하기 위해 의료기기의 취약점을 공개했다며 윤리 논란에 휩싸인 머디 워터스(Muddy Waters)가 새로운 웹 사이트인 profitsoverpatients.com을 열었다. 해당 웹 주소를 번역하면 ‘환자보다는 이윤 닷컴’ 정도가 된다. 그리고 여기에 세인트 주드 메디컬(St. Jude Medical)의 기기의 취약점에 대한 영상 자료를 업로드하기 시작했다.
머디 워터스는 지난 달 비윤리적인 취약점 공개로 엄청난 비난을 받은 바 있다. 보통 보안 취약점은 발견자가 제조사 등에 먼저 알려서 조치를 취한 후 공개하는 게 일반적이다. 고치지 않고 취약점을 공개하면 누군가 해당 취약점을 악용해 공격을 할 수 있기 때문이다.
하지만 머디 워터스는 “세인트 주드는 취약점을 고칠 의사가 없다”며 자신들이 발견한 취약점을 먼저 공개했다. 그리고 주가가 떨어진 세인트 주드의 주식을 공매했다. ‘환자보다는 이윤’이라는 이름으로 웹 사이트를 신설한 것 역시 ‘세인트 주드가 취약점을 수정해 환자를 안전하게 보호하기 보다는 이윤을 늘리기에 정신이 없다’는 주장을 하기 위한 것으로 보인다.
현재 이 웹 사이트에는 네 가지 영상이 올라와있다. 각각 shock-on-T, 비상 쇼크, ICD 진동, 빠른 치료 비활성화 공격에 대한 내용을 담고 있다. 세인트 주드는 이에 대해 “심장 박동 장치를 비롯한 여러 의학 기기들에 대한 취약점을 계속해서 공개해서 얻을 수 있는 이득이 뭔지 모르겠다”며 “머디 워터스는 세인트 주드의 기기 전체에 대한 불안감과 공포만 확산시키며 자신들의 금전적인 이득만 노리고 있다”고 비판했다.
한편 세인트 주드는 사이버 보안 강화로 환자를 보호하겠다는 노력의 일환으로 사이버보안의료자문회(Cyber Security Medical Advisory Board)를 구성한다는 발표를 했다. 해당 자문회는 세인트 주드의 개발 및 연구팀과 호흡을 맞춰 기기들의 보안 문제를 해결할 것이라고 세인트 주드의 대변인은 발표했다.
진짜 환자보다 이윤을 더 우위에 놓고 있는 쪽은 어디일까? 비난을 감수하고 세인트 주드 의료 기기의 취약점을 알렸지만 주식도 좀 챙긴 머디 워터스일까? 아니면 머디 워터스가 대부분의 비난을 받아주는 동안 그 동안 취약점 관리를 게을리 했던 과거가 묻힌 세인트 주드일까?
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
