Like The Learning Machine

Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses

음... 이번에 워싱턴대와 메사추세츠대에서 재미난 연구를 했습니다. 심장병(구체적인 병명은 모름 -_-;;)이 있어 몸 속에 설치하게 되는 제세동기와 심박조절기에 보안 위협이 있다고 합니다. 아직은 이론인데요.. 뭐 늘 하는 말처럼 미래에는 큰 위협이 될 수 있다고 하네요..

이번 연구는 Medtronic사의 Maximo라는 제세동기능과 심박조절기능이 함께 내장된 장치를 대상으로 실시했다고 합니다. 이 장치는 외과수술을 하지 않고도 환자의 몸 속에 내장된 장치의 상태를 점검하고 환자의 건강 상태를 체크하기 위해 라디오 신호를 발생하는 기능을 가지고 있다고 합니다. 그런데 이 신호에 보안적 장치가 없어 도청을 할 수 있다고 하네요.. 아직 도청까지만 되는 듯 합니다...(추측 @_@;;)

궁극적으로 연구진들이 생각하는 것은 악의적인 해커가 환자의 몸속에 내장된 장치를 제어할 수 있지 않을까 하는 것입니다. 물론 제어까지는 아니더라도 기능적 오류를 불러일으키는 것만으로 환자에게는 치명적이겠죠.

소프트웨어공학에서는 Critical Application이란 것이 나옵니다. (용어가 맞나...?) 즉, 비행기 항법장치와 같이, 내장된 소프트웨어에 결함이 존재했을 때 아주 큰 위협을 가져다 줄 수 있는 어플리케이션을 말합니다. 이러한 소프트웨어를 만들 때 가장 최우선으로 고려해야 할 사항이 reliabillity와 robustness입니다.

제 생각에는 사람의 생명을 조절하는 이러한 장치가 Critical Application에 속하지 않나 생각합니다. 따라서, 이러한 관점에서 이번 연구는 의미가 있으며 장치 개발사들은 점차적으로 보안적인 부분을 고려해야 할 것입니다.

뉴욕타임즈에 실린 기사를 보면 장치 개발사는 앞으로는 멀리있는 의사도 장치와 통신할 수 있게 인터넷 연결 기능을 포함시킬 계획이 있다고 하네요.. -_-;;; 이러면 정말 보안이라는 부분을 간과해서는 안될 것 같습니다.