• 한국, 스위스, 영국, 미국 공동연구 - 취약점 자동분석..

Introduction to Medical Device Security

• 의료기기 보안

• 홈랜드 에피소드 소개

• Kevin Fu

• 심장기기 해커공격 취약 문제..

• 환자 가슴 신호를 취합해서 연구 → 암호화 기술이 없었음

• 전자근무기록 - 라디오기록만 들어도 파악이가능했음

• 의료기기 보안이 해킹될 있다고 판단 됨.

  • MICS band(402~405 MHz) 사용 공격 가능
  • 전기충격 자체를 무력화할 수 있음
  • 디버깅 영역 / 디버깅 기능 실시함
  • hacked radio signal를 사용하여 모든 치료를 무력화하거나 induce VfIb 가능하는 실험..
  • 테스트/인증 보증도 없었음..(Halperin et al, IEE symposium on Security & Privacy 2008)

• 멀웨어.. - 제세동기 해킹 사례

  • 처음 발견한 malware는 오래된 Conficker 웜

  • Windows XP에서 만연했던 Malware였음.

  • malware를 통해 침투 가능

  • 미하일로프 컴퓨터 시스템 성수를 뿌림

    • malware를 넣지 않음

  • Major Device Vulnerabilities

  • Barnaby Jack : Infusion Pump(2011)

  • Hospira Infusion pumps

    • 취약점을 원격으로 조정할 수 있음
    • 설계 취약점 - 기본 패스워드, 보안이 설정되지 않은 네트워크

  • St.Jude Pacemaker

    • 심박 조율기 취약점
    • Unauthorized alteration, disabling of device funnction
    • 사유 : Poor Security testing, weak encryption

  • GE healthcare hard coded password

    • 하드코딩된 기본 비밀번호 생성 문제…
    • 의료기기 공격 → 비밀번호 해킹
      • 하드코딩된 비밀번호는 지양..

  • Elekta Ransomware

    • 클라우드 보안 취약점이 원인
    • 특정 환자에 맞는 맞춤형 치료법 검색 .. → 특정 양 방사선 치료가 필요한 경우 클라우드에 연결해서 검색 → 맞춤형 치료 중단..

  • Cybersecurity in Medical Devices : Quality Systems …

  • 의료 사이버 보안

    • 미국에서는 정책이 아니라 실제 법안이 발족되어 있음
    • 법 위반하면 큰 문제 직면하게 됨
    • 법으로 사이버보안 엔지니어링을 강제 함
    • EU 국가들도 미국만큼 엄격한 법률을 적용하지 못ㅎ함
    • 미국 기기는 사이버 기기를 다음과 같이 정의
      • 소프트웨어를 연결하고 설치되어 있는가?
      • 인터넷에 연결 여부 상관없이, 인터넷 연결 기능이 탑재되면 법률 영향을 받음

  • Section 524B - Requirements

    • 소프트웨어 취약점을 보호하도록 하고있는가

  • secure-medicine.org

    • 개발하는 기술이 이상의 업무 흐름을 방해하지 않는지 확인 필요

  • 사이버보안 뿐만 아니라, 의료공학수업이 필요함..

    • 보안 - 리스크 관리에 대해서 알려줌.
    • 암호화, 네트워킹, 소프트웨어 안전 개발 방법론을 가르치나, 미국에서는 리스크 관리를 보안 클래스를 통해 배우기 어려움
    • 리스크 평가, 관리는 비즈니스 스쿨에서 알려줌. → 리스크를 받아들이고 인정하는 건 배울 수 있음
    • Are Some Western countries still developing medical device software using legacy code, and do vulnerabilities—particularly from unpatched open-source libraries—remain in use?

  IoTCube : Automated SBOM, VEX management for supply chain security

  • 이희조 - 해킹 동아리 창립
  • [email protected]
  • 공급망 관리를 위한 보안 필요
  • 소프트웨어 개발되고 응용되고 보안..
  • 최근 3~4년간 주목을 받고 있음.
  • SBOM - 소프트웨어 명세 → 실제 제품에 영향을 끼치는지
  • SBOM 부재가 불러온 좌초된 AI 해외진출 사례
    • 소프트웨어 개발방법론 숙지 필요
    • 안전한가, 취약점은 어떻게 관리하는가 → 정확하게 만족시킬 수 있는 답변을 주지 못함.
    • CC인증, ISMS, ISO 인증을 받아야 하는가..

• 의료기기의 복잡성

  • 초복잡 사이버 물리 시스템

    • 물리적 요소(로봇 / 심전도 펌프 등), 사이버 요소(펌웨어, 제어 알고리즘, AI기반진단모듈), 실시간 제어
    • 보안 중요
    • 많은 오픈소스를 사용하고 있음
      • 질문 ) 안전한 오픈소스를 과연 잘 사용하고 있는가?
      • 컴포넌트 업데이트 관리 어려움..
    • 블랙박스 소프트웨어 - 보이지 않는 위험
    • 투명한 SBOM
    • SDL + SBOM + VDP

  • SDL

    • 설계 단계부터 보안 내재화 위한 보안을 고려한 개발 프로세스
    • Threat Modeling, SAST, DAST, SCA, Pentest 등 단계별 적용
    • Microsoft SDL, 12 Practices, NIST SSDF, 42 Tasks

  • SBOM

    • 소프트웨어 구성요소들을 국제 표준 형식으로 정리한 목록
    • US EO 14028

  • VDP 취약점 신고 관리 체계

SBOM/ VEX

• 제품 보안 관리와 공급망 도구

ASFuzzer : Differential Testing of Assemblers

• 바이너리 분석, 취약점 분석