2016.08.30

생명을 이용한 돈벌이?··· 의료기 취약점 공개한 보안업체 '구설수'

Michael Kan | IDG News Service
한 보안업체의 보안 취약점 공개 행태가 구설에 올랐다. 취약점을 공개해 주가를 하락시키고 여기서 이익을 챙겼기 때문이다.


Image Credit: St. Jude Medical

지난 25일 보안업체 메드시크(MedSec)는 세인트 쥬드 메디컬(St.Jude Medical)의 페이스 메이커와 다른 의료 기기 제품에 해킹 취약점이 있다고 주장하면서 신문 지면을 장식했다. 그러나 업체는 세인트 쥬드 메디컬의 주가 하락에 투자한 업체와 제휴 관계를 맺고 있었고 취약점 공개를 통해 수익을 챙긴 것으로 알려져 논란이 불거졌다.

보안 업계는 이번 소식에 눈살을 찌푸리고 있다. 버그 바운티 플랫폼인 버그크라우드(Bugcrowd)의 캐시 엘리스 CEO는 취약점을 공개한 후 주식을 쇼트 포지션(short position, 주가가 내렸을 때 이익을 보는 것)으로 거래해 수익을 챙긴 첫 사례일 수 있다고 지적했다.

이는 윤리와 관련된 논란을 초래하고 있다. 메드시크가 취약점을 가장 먼저 알려준 회사가 (그랬을 경우 문제를 바로잡을 수 있었던) 세인트 쥬드가 아니라 투자 회사였기 때문이다. 씽크탱크인 CSIAC(Cyber Statecraft Initiative at the Atlantic Council)의 이사 조쉬 코먼은 "이런 행태는 환자에게도 피해를 줄 게 분명하다"고 말했다.

인식 제고 또는 돈?
세인트 쥬드 메디컬은 메드시크의 주장이 사실이 아니라고 반박했다. 이 회사는 26일 보안업체가 주장한 내용의 문제점을 설명한 장문의 성명을 발표했다. 하지만 취약점이 공개된 후 세인트 쥬드 메디컬의 주가는 5%나 폭락했다.

메드시크는 자신들의 행동을 변호하고 나섰다. 플로리다에 본사를 둔 메드시크는 지난 18개월 동안 주요 의료기기 제조업체가 만든 기기의 보안 취약점을 조사했다고 주장했다. 업체의 CEO 저스틴 본은 블룸버그와의 인터뷰에서 "세인트 쥬드 메디컬은 보안에 있어서는 아주 크게 뒤처져 있다"고 말했다.

메디시크는 이 회사가 과거 규제 조치에도 불구하고 보안 문제를 경시한 적이 있어 발견한 취약점을 회사에 알리지 않았다고 주장했다. 업체는 이메일 인터뷰를 통해 "보안 취약점을 알려주면 이를 단순히 덮는 '메시지'를 준비하지 않을까 우려했다"고 밝혔다.

문제는 메디시크가 아무런 대가 없이 보안 문제를 조사한 것이 아니라는 점이다. 머디 워터스 캐피털(Muddy Waters Capital)이라는 투자 회사는 세인트 쥬드 메디컬 주식을 쇼트 포지션으로 거래했다. 이 회사는 메디시크에 라이선싱 비용을 지급하고 있으며, 투자 수익의 일부를 조사에 대한 보상으로 제공했다. 본 CEO는 블룸버그 인터뷰에서 "당연히 이를 통해 (조사) 비용을 회수할 계획이었다"고 말했다.


의도치 않은 '부작용'
메드시크의 해명에도 불구하고, 일부는 업체의 행태에 동의하지 않고 있다. 이들은 메드시크가 위험한 일을 했으며, 해커가 세인트 쥬드 메디컬 제품을 표적으로 삼을 수도 있다고 지적했다. 보안 옹호 단체인 '아이 엠 더 캐벌리(I Am The Cavalry)'를 공동 설립한 코먼은 "공개 방식이 위험을 초래하고 있다. 취약점에 지나치게 큰 관심이 쏠리면서, 악의적인 사용자가 해당 기기를 표적으로 삼고 싶어할 수 있다"고 말했다.

그러나 시장에 취약점이 있는 의료 기기가 많은 것도 분명한 사실이다. 의료 관련 산업은 몇 년 전 관련 규제가 도입된 후, 이 문제를 바로 잡으려 노력해왔다. 하지만 페이스메이커의 취약점을 찾는 것은 웹사이트 취약점을 찾는 것보다 훨씬 어려운 일이다. 코먼은 "심장에 이식된 제품의 취약점을 찾은 것이다. 제품을 빼내기 위해 수술이 필요할 수도 있다"고 말했다.

코먼은 메디시크가 식품의약품안전청(FDA) 등 규제 기관을 통해 이런 문제를 해결하지 않은 것에 의문을 제기했다. 환자와 병원에도 적절한 방법으로 통보를 해야 했다는 것이다. 이에 대해 메디시크는 세인트 쥬드 메디컬이 즉시 보안 위험을 최소화하는 조치를 할 수도 있다고 주장했다. 또 공개에 앞서 FDA에 이 사실을 알렸다고 강조했다.

걱정할 문제일까?
환자가 이 문제를 우려해야 하는지 확실하지 않다. 메디시크가 취약점을 공개하긴 했지만 FDA는 아직 이 문제를 조사 중이다. FDA는 26일 "지금 당장은 환자가 해당 장치를 설명서대로 계속 사용해야 한다. 이식 장치를 바꿀 필요가 없다"고 발표했다. 코먼은 보안 위험에도 불구하고, 이식형 의료 장치가 위험보다는 생명을 구하는데 큰 도움을 준다고 말했다. 또 세인트 쥬드 메디컬은 대부분의 취약점이 자동 업데이트가 불가능한 구형 환자 모니터링 제품에만 존재한다고 주장했다.

이번 사건은 보안 업계가 자신들의 '관행'을 더 깊이 들여다보도록 유도하는 계기를 제공했다. 버그 클라우드의 엘리스는 "안전과 직결된 위험을 이용해 수익을 남기는 것이 옳은 일인가? 이런 사건은 보안 조사 업종과 업체의 협력 관계를 해치면서 갈등'을 초래할 수 있다"고 지적했다.

보안 회사인 에일리언 볼트(Alien Vault)의 보안 어드보케이트인 자바드 말리크는 의료 기기에서 계속 발견되고 있는 취약점에 화가 났을 보안 조사 전문가에 대한 공감을 드러냈다. 그러나 그는 이메일 인터뷰를 통해 "좋은 의도에도 불구하고 우려되는 선례를 남길 수 있다. 다른 보안 조사 전문가도 올바른 방법의 취약점 공개보다 수익을 우선시 할 수 있다"라고 말했다. ciokr@idg.co.kr



2016.08.30

생명을 이용한 돈벌이?··· 의료기 취약점 공개한 보안업체 '구설수'

Michael Kan | IDG News Service
한 보안업체의 보안 취약점 공개 행태가 구설에 올랐다. 취약점을 공개해 주가를 하락시키고 여기서 이익을 챙겼기 때문이다.


Image Credit: St. Jude Medical

지난 25일 보안업체 메드시크(MedSec)는 세인트 쥬드 메디컬(St.Jude Medical)의 페이스 메이커와 다른 의료 기기 제품에 해킹 취약점이 있다고 주장하면서 신문 지면을 장식했다. 그러나 업체는 세인트 쥬드 메디컬의 주가 하락에 투자한 업체와 제휴 관계를 맺고 있었고 취약점 공개를 통해 수익을 챙긴 것으로 알려져 논란이 불거졌다.

보안 업계는 이번 소식에 눈살을 찌푸리고 있다. 버그 바운티 플랫폼인 버그크라우드(Bugcrowd)의 캐시 엘리스 CEO는 취약점을 공개한 후 주식을 쇼트 포지션(short position, 주가가 내렸을 때 이익을 보는 것)으로 거래해 수익을 챙긴 첫 사례일 수 있다고 지적했다.

이는 윤리와 관련된 논란을 초래하고 있다. 메드시크가 취약점을 가장 먼저 알려준 회사가 (그랬을 경우 문제를 바로잡을 수 있었던) 세인트 쥬드가 아니라 투자 회사였기 때문이다. 씽크탱크인 CSIAC(Cyber Statecraft Initiative at the Atlantic Council)의 이사 조쉬 코먼은 "이런 행태는 환자에게도 피해를 줄 게 분명하다"고 말했다.

인식 제고 또는 돈?
세인트 쥬드 메디컬은 메드시크의 주장이 사실이 아니라고 반박했다. 이 회사는 26일 보안업체가 주장한 내용의 문제점을 설명한 장문의 성명을 발표했다. 하지만 취약점이 공개된 후 세인트 쥬드 메디컬의 주가는 5%나 폭락했다.

메드시크는 자신들의 행동을 변호하고 나섰다. 플로리다에 본사를 둔 메드시크는 지난 18개월 동안 주요 의료기기 제조업체가 만든 기기의 보안 취약점을 조사했다고 주장했다. 업체의 CEO 저스틴 본은 블룸버그와의 인터뷰에서 "세인트 쥬드 메디컬은 보안에 있어서는 아주 크게 뒤처져 있다"고 말했다.

메디시크는 이 회사가 과거 규제 조치에도 불구하고 보안 문제를 경시한 적이 있어 발견한 취약점을 회사에 알리지 않았다고 주장했다. 업체는 이메일 인터뷰를 통해 "보안 취약점을 알려주면 이를 단순히 덮는 '메시지'를 준비하지 않을까 우려했다"고 밝혔다.

문제는 메디시크가 아무런 대가 없이 보안 문제를 조사한 것이 아니라는 점이다. 머디 워터스 캐피털(Muddy Waters Capital)이라는 투자 회사는 세인트 쥬드 메디컬 주식을 쇼트 포지션으로 거래했다. 이 회사는 메디시크에 라이선싱 비용을 지급하고 있으며, 투자 수익의 일부를 조사에 대한 보상으로 제공했다. 본 CEO는 블룸버그 인터뷰에서 "당연히 이를 통해 (조사) 비용을 회수할 계획이었다"고 말했다.


의도치 않은 '부작용'
메드시크의 해명에도 불구하고, 일부는 업체의 행태에 동의하지 않고 있다. 이들은 메드시크가 위험한 일을 했으며, 해커가 세인트 쥬드 메디컬 제품을 표적으로 삼을 수도 있다고 지적했다. 보안 옹호 단체인 '아이 엠 더 캐벌리(I Am The Cavalry)'를 공동 설립한 코먼은 "공개 방식이 위험을 초래하고 있다. 취약점에 지나치게 큰 관심이 쏠리면서, 악의적인 사용자가 해당 기기를 표적으로 삼고 싶어할 수 있다"고 말했다.

그러나 시장에 취약점이 있는 의료 기기가 많은 것도 분명한 사실이다. 의료 관련 산업은 몇 년 전 관련 규제가 도입된 후, 이 문제를 바로 잡으려 노력해왔다. 하지만 페이스메이커의 취약점을 찾는 것은 웹사이트 취약점을 찾는 것보다 훨씬 어려운 일이다. 코먼은 "심장에 이식된 제품의 취약점을 찾은 것이다. 제품을 빼내기 위해 수술이 필요할 수도 있다"고 말했다.

코먼은 메디시크가 식품의약품안전청(FDA) 등 규제 기관을 통해 이런 문제를 해결하지 않은 것에 의문을 제기했다. 환자와 병원에도 적절한 방법으로 통보를 해야 했다는 것이다. 이에 대해 메디시크는 세인트 쥬드 메디컬이 즉시 보안 위험을 최소화하는 조치를 할 수도 있다고 주장했다. 또 공개에 앞서 FDA에 이 사실을 알렸다고 강조했다.

걱정할 문제일까?
환자가 이 문제를 우려해야 하는지 확실하지 않다. 메디시크가 취약점을 공개하긴 했지만 FDA는 아직 이 문제를 조사 중이다. FDA는 26일 "지금 당장은 환자가 해당 장치를 설명서대로 계속 사용해야 한다. 이식 장치를 바꿀 필요가 없다"고 발표했다. 코먼은 보안 위험에도 불구하고, 이식형 의료 장치가 위험보다는 생명을 구하는데 큰 도움을 준다고 말했다. 또 세인트 쥬드 메디컬은 대부분의 취약점이 자동 업데이트가 불가능한 구형 환자 모니터링 제품에만 존재한다고 주장했다.

이번 사건은 보안 업계가 자신들의 '관행'을 더 깊이 들여다보도록 유도하는 계기를 제공했다. 버그 클라우드의 엘리스는 "안전과 직결된 위험을 이용해 수익을 남기는 것이 옳은 일인가? 이런 사건은 보안 조사 업종과 업체의 협력 관계를 해치면서 갈등'을 초래할 수 있다"고 지적했다.

보안 회사인 에일리언 볼트(Alien Vault)의 보안 어드보케이트인 자바드 말리크는 의료 기기에서 계속 발견되고 있는 취약점에 화가 났을 보안 조사 전문가에 대한 공감을 드러냈다. 그러나 그는 이메일 인터뷰를 통해 "좋은 의도에도 불구하고 우려되는 선례를 남길 수 있다. 다른 보안 조사 전문가도 올바른 방법의 취약점 공개보다 수익을 우선시 할 수 있다"라고 말했다. ciokr@idg.co.kr

X