존슨앤드존슨(Johnson & Johnson)이 자회사 애비오메드(Abiomed) 자동화 심장펌프 ‘임펠라(Impella)’ 제어장치에서 사이버 보안 취약점이 발견돼 미국 식품의약국(FDA) 기준 최고 수준의 리콜 조치(Class I)에 들어갔다.

현재까지 환자 피해 사례는 없으나 FDA는 잠재적 생명 위협 가능성을 이유로 긴급 대응에 나섰다.

FDA는 최근 공지를 통해 애비오메드가 고객에게 전달한 ‘임펠라 제어장치 보안 취약점’ 관련 안내 이후, 해당 조치를 1등급(Class I) 리콜로 분류했다고 밝혔다.

이는 부작용이 발생할 경우 사망 또는 심각한 신체 손상을 초래할 수 있는 위험 수준을 의미한다.

이번 리콜은 존슨앤드존슨 산하 애비오메드가 자사 내부 사이버보안 정기 점검 과정에서 취약점을 발견한 데서 비롯됐다.

회사 측은 네트워크 및 물리적 접근과 관련된 “허용 불가능한 잔여 위험(unacceptable residual risk)”이 확인됐다고 설명했다.

FDA 역시 해당 취약점이 악용될 경우 “기기 제어 손실 또는 예상치 못한 펌프 정지로 이어질 수 있다”고 경고하며, 이로 인해 생명 위협이나 영구적 손상 가능성이 존재한다고 밝혔다.

다만 현재까지 실제 사이버 공격 사례나 환자 피해 보고는 없는 것으로 확인됐다.

애비오메드는 문제 취약점이 제어장치 내부 운영체제(OS) 수준에서 발생한 것이며, 병원 네트워크 등 외부 시스템에는 영향이 없다고 강조했다.

애비오메드는 향후 보안 업데이트 및 영구적 수정 조치를 준비 중이며, 문제가 해결되는 대로 장비 네트워크 연결을 재개할 계획이다.

이번 리콜은 지난달 FDA가 발표한 ‘임펠라 제어장치’ 관련 조기 경보(early alert)에 포함된 동일한 5개 제품군을 대상으로 한다.

당시 FDA는 해당 장치에서 발생한 ‘퍼지 압력(purge pressure)’ 이상으로 5건의 중대 환자 부상이 보고됐다고 밝혔다.

FDA는 올 7월과 8월에도 동일 기기에 대한 별도의 안전성 경보를 발령한 바 있어, 존슨앤드존슨 심장펌프 사업부가 연이은 품질 및 안전 이슈에 직면한 상황이다.