어려서부터 당뇨를 앓은 대학생 C는 선천적으로 인슐린이 분비되지 않는 문제를 갖고 있다. 그래서 인슐린을 몸에 공급하기 위해서 시간에 맞춰 스스로 주사를 놓는다. 학교생활과 다양한 활동을 하다 보면 바깥에서 주사를 놓을 일이 생기고, 사람들의 시선이 부담스러울 때도 있지만 어쩔 수 없는 일이라 불편을 감수하는 편이다.

C의 동생도 같은 질병을 앓고 있다. 주사 요법을 쓸 때 외부 활동에 있어서 필연적으로 수반되는 불편함에 대해 그는 아주 큰 불만을 느끼고 있었다. 몇 년 동안 고민한 C의 동생은 결국 인슐린 펌프를 구입해 체내 인슐린 공급과정을 간소화했다. 단순한 버튼 조작만으로 인슐린 공급량을 조절하고 사람들의 시선을 더는 신경 쓰지 않는 동생의 모습을 본 후, C도 마음이 흔들렸다. 그러나, 한편으로는 찜찜한 생각이 들었다. 만일 기기가 오작동해서 인슐린 공급이 설정한 양만큼 공급되지 않는다면? 혹은 모니터링 시스템이 잘못된다면? 게다가, 꾸준히 화제가 되고 있는 의료기기 해킹 가능성도 마음에 걸린다. 미국의 전 부통령 딕 체니(Dick Cheney)는 해킹을 통한 암살의 위험이 걱정스러워 심장에 연결된 심장박동 조정기의 무선 기능을 끄도록 했다는 일화도 있다.

실제로, 미국의 제약회사 존슨앤드존슨(Johnson & Johnson)은 북미지역에서 유통되는 어느 인슐린 펌프 모델이 보안 취약점을 갖고 있다고 지난해 가을 발표했다. 이 회사에 따르면, 미국과 캐나다에서 판매되는 '원터치 핑 펌프(One Touch Ping Pump)'는 와이파이를 이용하는 컨트롤러로 인슐린 투여량을 조절한다. 하지만 이 부분은 곧 보안 취약점과 직결되는데, 기기와 무선 주파수 간의 통신을 해커가 하이재킹(hijacking: 정당한 사용자가 인증을 승인한 후 몰래 세션을 가로채는 공격 기법)하면, 원하는 대로 인슐린 투여량을 조절할 수 있게 된다.

최근 FDA는 의료기기 제조 회사 '세인트 주드 메디컬(St. Jude Medical)'의 심장 기기들이 해커들에게 악용될 수 있는 보안 취약점을 갖고 있다고 발표했다. 세인트 주드 메디컬의 이식형 제세동기는 심박동수를 모니터링해 이상 징조가 나타나면 전기 충격 등으로 심박동수를 조절하고 심장 마비를 예방한다. 이 기기는 라디오 주파수를 통해 데이터를 전송하는데, 이와 관련된 보안 취약점을 통해 해커가 기기에 침투하면 배터리를 소진하거나 심장 조절 기능을 악의적으로 조종할 수 있다.

존슨앤드존슨과 세인트 주드 메디컬의 보안 취약점때문에 실제 인명피해가 벌어진 사례는 아직 없고, 다행스럽게도 보안 취약점이 빨리 발견된 탓에 관련된 패치를 빠르게 적용할 수 있었다. 그러나, 의료기기에 상존하는 보안 취약점과 이를 악용할 가능성에 대해 깊게 생각하게 만드는 사례들이다.

C 본인이나 동생 모두 딕 체니처럼 정치적, 혹은 다른 여러 이유로 위험에 처할 가능성이 크다고 생각하지는 않는다. 하지만, 위와 같은 자료를 FDA가 발표하자 인슐린 펌프를 비롯한 의료기기의 이용이 더 꺼려지게 되었다고 이야기한다.

이런 보안 취약점을 막기 위해서는 모든 기기가 암호화된 통신을 사용해야 한다. 그리고, 다각도로 보안 강화 조치가 취해져야만 한다. C는 의료기기의 보안 취약점에 대한 연구가 꾸준히 지속되고 있는 만큼, 보안성이 좀 더 강화된 인슐린 펌프가 출시될 것을 기다리면서 한동안 주사요법을 지속하기로 결심했다.

*편집자 주: 컬럼 등 외부 필진의 글은 '비석세스'의 편집 방향과 일치하지 않을 수 있습니다.