Medtronic 인슐린 펌프에 존재하는 취약점으로 인해 해킹 가능해져

Vulnerability in Medtronic insulin pumps allow hacking devices

Medtronic과 미 정부가 일부 Medtronic MiniMed 인슐린 펌프가 사이버 공격에 취약하다고 경고했습니다.

미 국토 안보부(DHS) 및 식품 의약품 안전청(FDA)은 MiniMed 508 및 Paradigm 시리즈 인슐린 펌프 모델에 존재하는 심각도 높은 취약점에 대한 보도 자료를 발표했습니다.

CVE-2019-10964로 등록된 이 취약점은 부적절한 접근 제어 이슈로, 공격자가 취약한 인슐린 펌프의 무선 RF(Radio Frequency) 통신을 방해할 수 있을 정도로 가까이 접근 가능한 경우 악용이 가능합니다.

US-CERT가 발행한 보안 권고에 따르면, 공격자는 이 취약점을 악용하여 데이터를 주입, 재생, 수정 및 인터셉트가 가능합니다. 

또한 취약한 펌프의 설정을 변경하고 인슐린 투여를 제어할 수 있습니다.

<이미지 출처: https://www.aarp.org/health/conditions-treatments/info-2019/medtronic-insulin-pump-recall.html>

Medtronic은 이 결함에 취약한 인슐린 펌프를 사용 중인 환자가 약 4천 명인 것으로 확인했다고 밝혔습니다.

회사는 환자들에게 보안 기능이 향상된 대체 인슐린 펌프를 제공하고 있습니다.

인슐린 펌프는 혈당 측정기, 포도당 감지 전달 장치, CareLink USB 기기와 같은 다른 기기들과 무선 RF를 통해 통신하는데, 해당 무선 RF 통신 프로토콜 인증 또는 승인 절차가 적절히 구현되지 못했습니다.

이 취약점으로 인해 근처의 인슐린 펌프에 RF 신호를 보낼 수 있는 특수한 기술 및 장비를 가진 잠재적 공격자가 펌프의 설정을 변경하여 인슐린 투여에 영향을 줄 수 있습니다. 

이로 인해 환자는 적절한 인슐린 공급이 되지 않아 저혈당 또는 고혈당을 겪게 될 수 있습니다.

Medtronic은 아직까지 실제 공격에 이 취약점이 악용된 사례는 찾지 못했다고 밝혔습니다.

취약한 인슐린 펌프를 사용 중인 미국 환자들은 기기를 새로운 모델로 교체하기 위해 의료 기관에 연락할 것을 권장합니다.

Medtronic은 새로운 모델을 사용할 수 없는 미국 이외 지역에 거주 중인 환자들에게 사이버 공격을 예방하기 위한 완화책을 사용할 것을 제안했습니다.

Medtronic은 MiniMed 508 및 Paradigm 인슐린 펌프의 취약점 수정을 위한 적절한 소프트웨어 업데이트나 패치를 발행할 수 없습니다. 

FDA는 Medtronic이 이 사이버 보안 문제를 해결하고 취약한 인슐린 펌프를 사용 중인 환자들이 새로운 모델로 교체할 수 있도록 돕고 있습니다.

 

출처:

https://securityaffairs.co/wordpress/87756/hacking/medtronic-insulin-pumps.html

https://www.us-cert.gov/ics/advisories/icsma-19-178-01