Home > 전체기사
원격 의료 서비스 활성화 위한 오픈소스 소프트웨어에서 취약점 나와
  |  입력 : 2020-07-16 14:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나로 인해 활성화 되기 시작한 텔레헬스 시장...오픈소스 소프트웨어 인기도 상승
리버헬스 EHR 2.0.0이라는 오픈소스 인기 높아져...그러나 심각한 취약점 발견되기도


[보안뉴스 문가용 기자] 보안 업체 비숍 폭스(Bishop Fox)가 최근 인기를 얻고 있는 오픈소스 전자 의료 기록 시스템에서 치명적인 취약점을 몇 개 발견했다. 이 취약점들을 성공적으로 익스플로잇 할 경우 공격자는 환자들의 민감한 정보에 자유롭게 접근할 수 있게 된다고 한다.

[이미지 = utoimage]


문제의 시스템은 리버헬스 EHR(LibreHealth EHR) 2.0.0 버전으로, 환자의 진료 및 건강 관련 기록을 전문가들이 손쉽게 저장하고 열람할 수 있도록 해주는 전자 시스템이다. 비숍 폭스 측이 여기서 취약점을 발견한 건 지난 2월의 일이고, 리버헬스 측에 이를 알린 건 3월의 일이다. 약 4개월이 지난 이번 주 리버헬스는 패치를 발표하긴 했는데, 완전한 버전은 아니라고 한다.

비숍 폭스의 보안 컨설턴트인 크리스 데이비스(Chris Davis)는 “아직 이 취약점들이 실제 공격에 활용되고 있지는 않다”고 설명한다. “그러나 익스플로잇이 매우 쉬운 것도 섞여 있어, 조만간 실제 사건이 발생한다고 해도 놀라지 않을 것”이라고도 덧붙였다. 게다가 리버헬스 EHR에 관한 문서도 체계적으로 정리되어 있고 구하기도 쉽기 때문에 공격자들이 이미 연구를 시작했을 가능성도 높아 보인다고 한다.

데이비스는 이번 주 비숍 폭스 블로그를 통해 “총 다섯 개의 고위험군 취약점을 리버헬스 EHR 2.0.0에서 찾아냈다”고 발표하며, 이를 다음과 같이 정리했다.
1) 데이터 노출로 이어지는 SQL 주입 취약점
2) 서버 침투를 가능하게 해주는 로컬 파일 삽입 취약점
3) XSS 취약점
4) 다양한 공격 가능성을 열어주는 CSRF 취약점
5) 전신인 오픈EMR(OpenEMR) 코드베이스에서 계승된 각종 취약점들

최근 코로나 사태로 인해 원격 의료 서비스(telehealth)가 활성화 되기 시작하면서 환자 기록을 저장하고 열람할 수 있는 시스템의 필요가 대두되기 시작했다. 데이비스는 “이런 현상에 따라 리버헬스 EHR의 사용량도 급증했다”고 한다. “이렇게 인기가 높은 시스템에서 위험한 취약점들이 여러 개 발견됐다는 건, 지금 활성화 되고 있는 원격 의료 서비스가 불안한 출발을 하고 있다는 뜻입니다.”

올해 초부터 지금까지 이어져 오고 있는 코로나 사태로 인해 의료 업계만이 아니라 각종 온라인 서비스의 사용량이 크게 증가하고 있다. 온라인 쇼핑 업계는 코로나 특수로 성장 중에 있고, 클라우드 서비스 가입자 역시 가파르게 상승 중이라고 한다. 화상 회의 도구나 협업 소프트웨어 개발사들 역시 즐거운 비명을 지르는 중이다. 그렇기 때문에 이런 서비스와 업계를 겨냥한 사이버 공격도 증가하고 있다. 특히 화상 회의 도구를 노리는 사이버 공격이 가장 많은 상황이다. 의료 업계도 안심할 수 있는 상황은 아니다.

리버헬스는 소프트웨어자유단체(Software Freedom Conservancy)라는 비영리 조직에 소속되어 있다. 소프트웨어자유단체는 오픈소스의 사용을 촉진시키기 위한 노력을 하는 조직으로, 2016년 11월, 조직 내 일부 전문가들이 뭉쳐 리버헬스라는 팀을 신설했다. 리버헬스 팀은 그 후 여러 가지 의료 관련 연구를 진행했고, 편리한 기록 저장 및 열람 시스템인 리버헬스 EHR이 등장한 것도 이런 과정 중에 있던 일이다. 그 외에도 리버헬스 라디올로지(LibreHealth Radiology)와 리버헬스 툴킷(LibreHealth Tookit)이 있다.

현재 리버헬스는 비숍 폭스의 보고를 받고 패치를 개발 중에 있는 것으로 알려져 있다. 그러나 데이비스는 “아직 패치 개발이 완료되지 않은 취약점이 일부 존재한다”고 설명한다. 그나마 완성된 패치도 아직 공식 배포 전 단계다. 데이비스는 “리버헬스와 비숍 폭스가 현재 함께 패치를 개발 중에 있으며, 조만간 필요한 모든 업데이트를 완성시켜 배포할 것”이라고 덧붙였다.

3줄 요약
1. 의료 전문가들을 위한 환자 기록 저장소, 리버헬스 EHR 2.0.0.
2. 리버헬스 EHR은 오픈소스로, 최근 코로나 때문에 원격 의료 서비스 늘어나자 사용량 급증.
3. 그런데 이 소프트웨어에서 심각한 취약점 여러 개 발견됨. 패치는 개발 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)