2019.04.18

ITWorld 용어풀이 | 브레인재킹(brainjacking)

허은애 기자 | ITWorld
생체 의료 기기 해킹과 관련해 가장 유명한 사례는 딕 체니 전 미국 부통령이 심장 수술을 받은 후 부착한 심장박동기를 떼어낸 일일 것입니다. 테러리스트가 심장박동기 해킹을 시도할 것을 걱정한 것이 이유였습니다. 

심장박동기, 맥박 조정기 등 이식형 체내 의료 기기, 즉 의료용 임플란트를 무선으로 제어할 수 있다는 위험은 과학 소설에서의 상상이 아니라 현실로 다가온 위협입니다. 2008년 미국 워싱턴 대학의 연구 팀은 심지어 인터넷에 연결되지 않은 무선 장치가 있을 경우에도 컴퓨터, 간단한 의료 장비, 무료 소프트웨어를 통해 심박수 모니터를 해킹할 수 있는 보안 취약점이 있다고 발표했습니다. 특정 심장 임플란트 장비의 무선 원격 측정 프로토콜에 암호화나 인증 단계가 없다는 취약성이 드러나는 일도 있었습니다.

이식형 의료 기기 해킹 중에서도 두뇌의 뉴런에 전기 펄스를 보내는 부품을 악용해 뇌파나 신호를 제어하고 환자의 반응 정보를 가로채는 해킹 방법을 브레인재킹(brainjacking)이라고 구분합니다. 파킨슨 병 등의 기억 장애, 각종 신경 장애 치료 분야에서 이식형 의료 기기는 뇌에 전기 충격을 주는 방식으로 널리 활용되고 있습니다. 문제는 의료진 외 다른 사람도 두뇌 임플란트 접근과 제어가 가능하다는 점입니다. 무선 통신 보안이 확보되지 않을 경우 해커가 의료진과 마찬가지로, 앱이나 게임, 음악 등을 통해 시청각 자극을 주고, 그때마다의 사용자 반응을 뇌파로 기록할 수 있습니다. 더 나아가 개인 정보를 탈취하거나 특정 행동을 유도할 위험이 있다는 우려도 있습니다.
 
ⓒGetty Images Bank

브레인재킹 사례는 아직까지 발생하지 않았습니다. 지금까지는 당뇨병 인슐린 펌프의 보안 공격 가능성을 증명한 연구 사례, 그리고 원거리에서 인슐린 펌프와 체내 이식된 제세동기에 접근해 제어한 연구 사례가 이식형 의료 기기 보안의 취약성을 드러냈을 뿐입니다. 그럼에도 취약점이 분명히 존재하고, 현실화됐을 때의 위험이 크다는 점에서 점차 강력한 보안이 요구되고 있습니다. 

브레인재킹은 지난해 말 영국 옥스포드 대학의 FNG(Functional Neurosurgery Group) 팀과 보안 소프트웨어 업체 카스퍼스키의 공동 연구 결과가 발표되면서 더욱 많은 관심을 모았습니다. 이 보고서는 뇌의학 분야에 쓰이는 이식형 의료 기기의 무선 연결 보안을 더욱 강화해야 하며, 해커가 기기를 조작하고 인터넷에 연결돼있을 경우 다른 전산 시스템에까지 접근할 수 있다고 경고했습니다. 

이식형 의료 기기는 인터넷이나 다른 의료 기기와 연결될 때 더 많은 정보를 생산·전달·활용하고 의료 서비스와 치료 역량을 개선하는 첨단 기술의 결과물입니다. 미국 FDA도 2018년 보안 강화를 위해 의료 기기 내 소프트웨어를 시판하기 전에 미리 제출해야 할 목록을 규정하고, 관련 네트워크 환경 관리와 시스템 무결성 보장 등 의료 기기 제공 업체에 각종 권장 사항을 제안하고 있습니다. editor@itworld.co.kr 


2019.04.18

ITWorld 용어풀이 | 브레인재킹(brainjacking)

허은애 기자 | ITWorld
생체 의료 기기 해킹과 관련해 가장 유명한 사례는 딕 체니 전 미국 부통령이 심장 수술을 받은 후 부착한 심장박동기를 떼어낸 일일 것입니다. 테러리스트가 심장박동기 해킹을 시도할 것을 걱정한 것이 이유였습니다. 

심장박동기, 맥박 조정기 등 이식형 체내 의료 기기, 즉 의료용 임플란트를 무선으로 제어할 수 있다는 위험은 과학 소설에서의 상상이 아니라 현실로 다가온 위협입니다. 2008년 미국 워싱턴 대학의 연구 팀은 심지어 인터넷에 연결되지 않은 무선 장치가 있을 경우에도 컴퓨터, 간단한 의료 장비, 무료 소프트웨어를 통해 심박수 모니터를 해킹할 수 있는 보안 취약점이 있다고 발표했습니다. 특정 심장 임플란트 장비의 무선 원격 측정 프로토콜에 암호화나 인증 단계가 없다는 취약성이 드러나는 일도 있었습니다.

이식형 의료 기기 해킹 중에서도 두뇌의 뉴런에 전기 펄스를 보내는 부품을 악용해 뇌파나 신호를 제어하고 환자의 반응 정보를 가로채는 해킹 방법을 브레인재킹(brainjacking)이라고 구분합니다. 파킨슨 병 등의 기억 장애, 각종 신경 장애 치료 분야에서 이식형 의료 기기는 뇌에 전기 충격을 주는 방식으로 널리 활용되고 있습니다. 문제는 의료진 외 다른 사람도 두뇌 임플란트 접근과 제어가 가능하다는 점입니다. 무선 통신 보안이 확보되지 않을 경우 해커가 의료진과 마찬가지로, 앱이나 게임, 음악 등을 통해 시청각 자극을 주고, 그때마다의 사용자 반응을 뇌파로 기록할 수 있습니다. 더 나아가 개인 정보를 탈취하거나 특정 행동을 유도할 위험이 있다는 우려도 있습니다.
 
ⓒGetty Images Bank

브레인재킹 사례는 아직까지 발생하지 않았습니다. 지금까지는 당뇨병 인슐린 펌프의 보안 공격 가능성을 증명한 연구 사례, 그리고 원거리에서 인슐린 펌프와 체내 이식된 제세동기에 접근해 제어한 연구 사례가 이식형 의료 기기 보안의 취약성을 드러냈을 뿐입니다. 그럼에도 취약점이 분명히 존재하고, 현실화됐을 때의 위험이 크다는 점에서 점차 강력한 보안이 요구되고 있습니다. 

브레인재킹은 지난해 말 영국 옥스포드 대학의 FNG(Functional Neurosurgery Group) 팀과 보안 소프트웨어 업체 카스퍼스키의 공동 연구 결과가 발표되면서 더욱 많은 관심을 모았습니다. 이 보고서는 뇌의학 분야에 쓰이는 이식형 의료 기기의 무선 연결 보안을 더욱 강화해야 하며, 해커가 기기를 조작하고 인터넷에 연결돼있을 경우 다른 전산 시스템에까지 접근할 수 있다고 경고했습니다. 

이식형 의료 기기는 인터넷이나 다른 의료 기기와 연결될 때 더 많은 정보를 생산·전달·활용하고 의료 서비스와 치료 역량을 개선하는 첨단 기술의 결과물입니다. 미국 FDA도 2018년 보안 강화를 위해 의료 기기 내 소프트웨어를 시판하기 전에 미리 제출해야 할 목록을 규정하고, 관련 네트워크 환경 관리와 시스템 무결성 보장 등 의료 기기 제공 업체에 각종 권장 사항을 제안하고 있습니다. editor@itworld.co.kr 


X