미국 연방 기관이 미국과 유럽 전역의 의료 환경에서 널리 사용되는 중국산 환자 모니터링 기기에 백도어가 내장돼 환자 데이터가 미승인 원격 서버로 유출될 위험이 있다고 경고했다. 백도어는 리브랜딩 버전에도 존재하며, 대학 소속으로 추정되는 원격 서버가 기기에서 승인되지 않은 코드를 실행할 수 있음이 알려졌다.

미국에서 의료 기기 사용을 허가하는 미국 식품의약국(FDA)의 안전 권고에 따르면, 영향을 받은 환자 모니터는 콘텍(Contec) CMS8000과 리브랜드 버전인 엡시메드(Epsimed) MN-120이다. 이 기기는 심전도, 심박수, 혈액 산소 포화도, 비침습성 혈압, 체온, 호흡 수 등 환자의 생체 신호를 모니터링하는 데 사용된다.

콘텍 메디컬 시스템즈는 중국 최대 의료기기 제조업체로 본사는 친황다오에, 자회사는 시카고, 뒤셀도르프, 뉴델리에 있다. 환자 모니터 외에도 펌프, 초음파 시스템, 내시경, 호흡 보조 장치, 뇌파 및 근전도 시스템, 진단 기기 등 다양한 의료 제품을 생산한다.

CISA 분석 결과, 백도어 기능 발견

미국 사이버보안 및 인프라 보안국(CISA)은 외부 연구원으로부터 Contec CMS8000의 취약점 보고를 받은 후 백도어를 발견했다.

CISA 연구진은 취약점 보고서를 검토하면서 기기의 펌웨어를 분석했고, 그 결과 펌웨어 코드 내에서 하드코딩된 IP 주소로 연결되는 의심스러운 기능을 발견했다. 이 IP 주소는 기기 제조업체나 의료 시설에 등록되어 있지 않았고, 대신 서드파티 대학에 속한 것으로 보인다. CISA는 보고서에서 IP 주소나 대학 이름을 공개하지 않았다.

CISA 팀은 기기의 리눅스 기반 펌웨어와 함께 제공되는 monitor라는 바이너리가 기기에서 eth0 네트워크 인터페이스를 활성화한 다음, NFS 프로토콜을 통해 하드코딩된 IP 주소에서 원격 디렉터리를 마운트하려고 시도하는 기능을 가지고 있다는 것을 발견했다.

원격 폴더는 /mnt라는 디렉터리로 로컬에 마운트된다. 그 후 애플리케이션은 monitor라는 파일이 디렉터리에 존재하는지 확인한다. 파일이 존재하면 디렉터리의 모든 파일을 로컬 /opt/bin 디렉터리로 복사하는 또 다른 명령이 실행되어, 이미 존재하는 같은 이름의 모든 파일을 덮어쓴다. 그런 다음 /opt/bin/start라는 파일을 /opt/startmonitor로 복사하고 파일 시스템의 다른 위치에 있는 다른 파일을 복사하는 명령이 실행된다.

CISA는 분석 보고서에서 “펌웨어 코드를 검토한 결과, 이 기능이 대체 업데이트 메커니즘일 가능성은 매우 낮으며, 기존의 업데이트 기능의 구현을 지원하지 않는 매우 특이한 특성을 나타내고 있다는 사실이 밝혀졌다”라고 밝혔다. 또 “무결성 검사 메커니즘이나 업데이트의 버전 추적을 제공하지 않는다. 기능이 실행되면 기기의 파일이 강제로 덮어쓰기되어 병원과 같은 최종 고객이 기기에서 실행 중인 소프트웨어를 파악할 수 없게 된다”라고 지적했다.

숨겨진 원격 코드 실행 행동 외에도 CISA는 CMS8000이 시작 루틴을 완료하면 포트 515를 통해 동일한 IP 주소에 연결되어, 일반적으로 라인 프린터 데몬(LPD)과 연결되어 있는 IP 주소를 통해 기기 소유자의 지식 없이 환자 정보 전송을 시작한다는 사실도 발견했다.

CISA는 “모의 네트워크를 만들고 가짜 환자 프로필을 생성한 다음, 혈압 커프, SpO2 모니터, ECG 모니터 주변기기를 환자 모니터에 연결했다. 시작하자마자 환자 모니터가 모의 IP 주소에 성공적으로 연결되었고, 즉시 해당 주소로 환자 데이터 스트리밍했다”라고 설명했다.

업체에 연락을 취하자, CISA는 11월에 패치된 것으로 추정되는 펌웨어 이미지를 먼저 받았고, 그 다음 12월에 또 다른 이미지를 받았다. 마지막 펌웨어 버전인 2.0.8에서 업체는 운영체제의 시작 스크립트에서 eth0 인터페이스를 활성화하는 라인을 제거했지만, monitor 바이너리 안에는 백도어 코드를 남겨 두었다.

CISA는 백도어 코드가 원격 디렉토리를 마운트하기 전에 명시적으로 eth0을 다시 활성화하기 때문이라고 설명했다.

완화 방법

패치가 없기 때문에 FDA는 이더넷 케이블을 뽑아 모든 원격 모니터링 기능을 비활성화하고, 와이파이 또는 셀룰러 연결을 비활성화할 것을 권장했다. 가정에서 해당 기기를 사용하는 환자와 시설에서 콘텍 CMS8000 또는 엡시메드 MN-120 기기를 사용하는 의료 서비스 제공자 모두가 대상이다.

또한, FDA는 이 기기를 현지 대면 모니터링에만 사용할 것을 권장한다. 의료 서비스 제공자의 원격 모니터링이 필요한 경우, 다른 제조업체의 다른 환자 모니터링 기기를 사용해야 한다.
dl-itworldkorea@foundryco.com