미국 안보 기관 보고에 따르면, 중국산 병원 환자 모니터에 제3자 대학으로 기밀 모니터링 데이터를 전송하는 백도어가 포함되어 있는 것으로 나타났습니다.
미국 기반의 사이버 보안 및 기반 시설 보안국(Cybersecurity & Infrastructure Security Agency, CISA)은 병원 및 의료 시설에서 사용되는 환자 모니터링 시스템 'Contec CMS8000'에 사용된 세 가지 펌웨어 버전을 포함한 조사 보고서를 최근 발표했습니다. 이 장치들에서 하드코딩된 IP 주소를 통해 환자 데이터를 전송할 수 있는 백도어가 발견된 것입니다. 이는 제품 설명에 의하면, 해당 장치가 유선 또는 무선 네트워크를 통해 중앙 모니터링 시스템에 연결되는 방식 때문에 가능합니다.
CISA는 특정 IP 주소로 데이터를 전송하는 코드를 공개했으며, 이 디코딩된 데이터에는 의사 이름, 환자 정보, 병원 부서, 입원일, 생년월일 등 해당 장치 사용자에 대한 상세 정보가 포함되어 있습니다. 이 취약점은 CVE-2025-0626으로 기록되었으며, CVSS v4 점수는 10점 만점에 7.7점입니다. 이 외에 두 가지 취약점은 CVE-2024-12248로 등록되었는데, 이는 공격자가 원격으로 데이터를 작성하여 코드를 실행시킬 수 있게 할 수 있음을 의미하며, CVE-2025-0683은 개인 정보 보호(Privacy)와 관련된 취약점입니다.
FDA는 "이러한 사이버 보안 취약점은 승인되지 않은 행위자가 사이버 보안 통제(controls)를 우회하여 장치에 접근하고 잠재적으로 조작할 수 있게 할 수 있다"고 밝히는 한편, "현재 이러한 사이버 보안 취약점과 관련된 보안 사고, 부상 또는 사망 사례는 인지하고 있지 않다"고 덧붙였습니다.
CISA는 Contec Medical Systems가 중국에 본사를 둔 의료 기기 제조업체이며, 그 제품들이 유럽연합 및 미국 내 병원, 클리닉, 기타 의료 시설에 사용되고 있다고 언급했습니다. 그러나 간단한 검색을 통해 이 제품들이 eBay를 통해 599달러에 판매되고 있음이 밝혀졌습니다. 또한 FDA에 따르면 해당 장치들은 'Epsimed MN-120'으로 재표기되어 판매되기도 했습니다. Contec은 130개국 이상에서 판매되며 FDA 승인을 받은 주요 의료 기기 제조사입니다. CISA 연구팀은 최근 조정된 취약점 공개 절차(coordinated vulnerability disclosure process)의 일환으로 이 취약점을 발견했습니다.
CISA는 해당 IP 주소가 특정 의료 기기 제조업체와는 연관되어 있지 않다고 밝혔습니다. 그럼에도 불구하고, 데이터가 전송되는 곳은 제3자 대학으로 확인되었으며, 대학 자체, IP 주소, 또는 데이터 수신 국가에 대한 정보는 공개되지 않았습니다. CISA는 또한 해당 코딩이 버전 추적이나 무결성 검사를 수행하는 등의 표준 업데이트 절차를 포함하고 있지 않기 때문에 대체 업데이트 시스템의 목적이 아니라고 판단했습니다. 대신, 원격 파일을 공유하여 해당 IP 주소로 전송하는 방식입니다. 이에 대한 해결책으로, FDA는 이러한 네트워크 연결 장치의 경우 모니터링 장치를 네트워크에서 분리하고 환자의 활력 징후와 신체 상태를 직접 모니터링할 것을 강력히 권고하고 있습니다.
Contec CMS8000은 심전도, 심박수, 혈중 산소 포화도, 혈압, 호흡수 등 환자의 활력 징후를 상세하게 모니터링하고 데이터를 저장합니다. FDA가 자신들과 의료 기관들이 해당 장치 목적을 알지 못한다는 뉘앙스를 담은 공지문을 발표하면서, 이는 심각한 사생활 침해 우려를 높이고 있습니다. 보고서에 따르면, Contec은 아직 이 문제에 대해 아무런 조치도 취하지 않았으며, 이를 수정할 펌웨어 역시 출시하지 않았습니다.
다수의 네트워크 장치들이 취약점을 가지고 있는 것으로 보고되고 있으나, 이는 반드시 중국 기반 회사 제품에만 한정된 문제는 아닙니다. 하지만 이러한 장치들이 갖는 핵심적인 역할과 중요성을 고려할 때, 충분한 실사(due diligence), 검토, 그리고 정보 공개가 매우 필수적입니다. 비록 데이터가 위치와 관계없이 대학으로 전송된다 할지라도, 해당 보고서가 FDA나 병원 측이 이 백도어의 존재를 인지하고 있지 않다는 점을 시사하는 바, 이는 특정 지역에 국한되지 않는 모든 환자와 의사의 사생활을 침해하는 사안입니다. 또한, 1월 이후 중국 발 다수의 사이버 공격 사례와 TP-Link 관련 우려가 있어, 이러한 장치에 대한 위험성이 더욱 고조되고 있습니다.