의료 IoT 보안 기업 사이네리오(Cynerio)가 아에쏜(aethon)의 TUG 자율 이동 로봇을 해킹할 수 있는 5가지 보안 취약점을 발견했다.
CISA 권고에 따르면, 해커는 취약점을 통해 원격으로 로봇을 제어하거나 민감 의료 정보를 유출할 수 있다.
사이네리오 연구원들은 병원 내에 TUG 자율 이동 로봇을 배치하면서 이번 취약점을 발견했다. 로봇이 가지고 있는 병원 정보, 로봇 시스템·서버 등을 자세히 살펴본 결과, 전문가들은 승인 없이 장치에 접근할 수 있음을 알아냈다.
연구원에 따르면, 이번에 발견된 취약점은 JekyllBot:5로, 해커는 이를 통해 ▲로봇을 사람과 사물에 충돌시킴 ▲환자와 직원 감시 ▲중요 약품 전달 방해 ▲HIPAA(미국 건강 보험 이동성 및 책임법) 위반 ▲환자 의료 기록에 접근 등의 작업을 할 수 있다.
또한 해커는 로봇의 온라인 포털에서 관리 사용자 세션을 가로챈 후 브라우저를 통해 악성코드를 주입할 수도 있는 것으로 알려졌다.
사이네리오는 이번 취약점을 아에쏜에 전달했으며, 아에쏜은 펌웨어 업데이트로 문제를 해결했다.
TUG 자율 이동 로봇은 아에쏜에서 병원용으로 설계된 자율 이동 로봇으로, 내장된 지도와 센서를 사용해 병원 홀을 탐색하고 와이파이를 통해 엘리베이터, 화재 경보기 및 자동문과 통신한다. 이 자율 로봇은 병원에서 24시간 연중무휴로 움직일 수 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
