코리아타임뉴스 이아름 기자 | ‘당뇨병 환우와 함께하는 시민연대(회장 연광인, 이하 시민연대)’는 인슐린펌프로 치료받고 있는 제2형 당뇨병환자들의 모임으로 현재 약 100여 명의 회원이 모여 환자 권익을 위해 노력하고 있는 단체로 5월 21일(화) 오전 보건복지부 정문 앞에서 국민건강권을 외면하는 보건복지부와 식약처에 대한 각성을 촉구하는 기자회견을 열었다.
시민연대는 식약처 첨단제품허가 담당관실과 유관 부서에 당뇨병환자의 건강과 생명에 심대한 관련이 있다고 판단되는 인허가에 대해 지난 2023년 2월 27일부터 9월 12일까지 7차례에 걸쳐 민원을 제기했다.
또, 올해에도 지난 4월 11일 식약처 주무부서 관련자 3인과 관련 회의를 진행했지만, 식약처는 아직까지도 답변을 계속 지연, 책임을 회피하는 것은 물론 직무를 유기하는 것으로 보인다는 것이다.
보건복지부 정문 앞에서 시위 및 기자회견 열어
시민연대 이준형 사무국장은 당뇨병환자로 현재 인슐린펌프 치료를 받고 있는데, 최근 국내외에서 허가되어 사용하는 연속혈당모니터(CGM : Continuous Glucose Monitor) 기술과 관련해 혈당조절이 좀 더 정밀하게 된다는 것으로 알고 치료를 받고자 알아보던 중, 국내 업체에서 사용하는 CGM 관련 6종의 애플리케이션이 국내외에서 허가받지 않은 것이어서 환자 건강에 심각한 문제가 있을 수 있다고 판단, 지난해 2월 22일부터 식약처에 민원을 제기하는 질의서를 여러 차례 공식 접수했다.
민원 내용은 국내에서 생산하는 당뇨병환자 용 인슐린 주입기(인슐린펌프) 가운데 G2E 사의 ‘DIACONN G8’ 제품은 연결용 애플리케이션(App, 이하 앱) 프로그램인 Xdrip+, Shuggah, Spike, Glimp, Tomato, LinkBluCon 등 6종을 사용하고 있는데, 이 App은 미국의 Dexcom 사와 Libre 사의 CGM(연속혈당모니터)과 연결해 혈당값을 읽어오는 앱이다.
그런데 문제는 CGM(연속혈당모니터) 연결용 App 프로그램인 Xdrip+, Shuggah, Spike, Glimp, Tomato, LinkBluCon 등 6종은 현재 국내외에서 허가된 Dexcom 사와 Libre 사의 CGM(연속혈당모니터) 등의 제조사에서 공식 배포 및 공급한 앱이 아닌 것은 물론이고 의료기기용 앱으로 식약처에 공식 등록되어 있지 않은 것이다.
Xdrip+ 등 6종의 앱은 사이버보안 및 데이터 무결성에 대한 검증을 거치지 않은 데이터로 이 데이터를 식약처에서 허가한 지투이 사의 ‘DIACONN G8’의 앱으로 사용하는 것은 환자의 생명과 관련, 매우 위험할 수 있기 때문이다.
Xdrip+ 등 6종의 앱은 사실상 인터넷에서 자유롭게 누구나 다운로드를 할 수 있는 것으로 환자의 생명과 관련해 문제가 발생 시 어느 누가 어떤 책임도 지지 않는 심각한 문제점과 위험성이 있다는 것이다.
그래서 시민연대 이준형 사무국장은 식약처에 상기 ‘DIACONN G8’의 LGS(저혈당 주입 멈춤) 기능의 합법성 및 안정성에 대해서도 문제 제기했지만, 식약처는 위 ‘DIACONN G8’의 인슐린펌프의 LGS(저혈당 주입 멈춤) 기능을 이미 허가했다.
더 심각한 것은 저혈당 주입 멈춤 기능은 미국 덱스콤 사의 연속혈당측정기 실시간 데이터를 사용해서 만든 기능인데, 미국 덱스콤 사와 계약이나 허가가 없이 무단으로 사용하는 것으로 드러났다.(별첨, 덱스콤 사 문의 내용 포함)
보건복지부와 식약처 각성 촉구 및 인슐린주입기 생산 G2E 사 경찰 고발
실시간 데이터는 남용할 경우, 위험성이 있어서 FDA의 컨설팅을 받아 공식적으로 제공하는 API에서는 3시간 지연된 데이터를 제공하고 있는데도 ‘DIACONN G8’은 미국 덱스콤 사와 계약이나 사용 권한 허가 등 공식적인 절차를 거치지 않고 사실상 무단으로 데이터를 사용하는 것이다.
‘DIACONN G8’에서 사용하는 덱스콤 사의 Dexcom Cloud의 경우 위의 설명처럼 정상적이지 않고 Dexcom Cloud를 제외한 다른 방법들은 연속혈당측정기 회사의 허가 없이 데이터 통신을 사실상 해킹하여 실시간 데이터를 가져오는 것으로 알려져 있다.
대표적으로 아래의 Xdrip+의 홈페이지 내용을 보면 의료결정을 위해 정보나 코드를 사용하지 말라고 경고(Use Xdrip+ at own risk, and do not use the information or code to make medical decisions.)하고, 어떤 보증과 공식적인 지원도 없다(Use of code from githup.com is without warranty or formal support of any kind.)고 명시되어 있다.
또, 연속혈당측정기 회사와 제휴 및 보증을 의미하지 않는다(Does not imply any affiliation with or endorsment by them.)라고 적혀 있다.
데이터 통신의 해킹을 통한 방법의 경우 데이터값에 대해서 신뢰성을 갖기 어려우며 품질에 대한 보증의 주체도 없다.
또한, 사이버보안에 취약하여 해커에 의한 공격이나 연속혈당측정기 제조업체에서 데이터 통신을 변경하면 ‘DIACONN G8’의 저혈당 방지기능은 갑자기 작동하지 않아 저혈당 주입 멈춤 기능의 오작동 위험을 유발할 가능성이 있어서 당뇨병환자에 심각한 문제를 끼칠 수 있다.
특히 사이버보안 문제는 미국 FDA와 전 세계적으로 매우 심각하게 받아들여지고 있는 문제로 2019년 6월 미국 FDA에 의해 미국 매드트로닉 사의 Medtronic MiniMed 인슐린펌프가 사이버보안 문제로 리콜을 당한 사례가 있다.(출처 FDA 홈페이지 : "Medtronic MiniMed insulin pumps are being recalled due to potential cybersecurity risks"
https://www.fda.gov/news-events/press-announcements/fda-warns-patients-and-health-care-providers-about-potential-cybersecurity-concerns-certain)
미국 FDA는 사이버보안 문제로 인슐린펌프 리콜한 사례 있어
이렇게 당뇨병환자에 위험성과 많은 문제점이 있음에도 식약처는 지난 4월 11일 답변에서 “구체적인 제품 정보가 없어 무슨 문제인지 이해가 가지 않아 현재 답변이 어렵다”라고 했고, 5월 16일 답변에서도 “귀하께서 문의하신 Xdrip+, Shuggah, Spike, Glimp, Tomato, LinkBluCon 어플리케이션에 대해 상기 내용을 확인할 수 없어 의료기기 해당 여부 및 의료기기법령에 따른 사용가능 여부 등에 대한 판단이 어려우니 양해하여 주기 바란다”라고 응답해 국민의 건강과 생명을 지키는 정부 부처가 과연 맞는지 의문을 더하고 있다.
식약처는 문제를 알고 있음에도 모르쇠로 일관하는 것인지, 정말 문제의 심각성을 모르고 있는 것인지 궁금하다.
그러면 당뇨병환자는 각자도생해야 한다는 것인가? 묻지 않을 수 없다.
국민의 생명과 안전을 지켜야 할 식약처의 무책임은 이뿐이 아니다.
시민연대가 제기한 LGS(저혈당 주입 멈춤) 기능에 관한 질의에도 지난 7월 24일 답변에서 “(전략) 기 허가된 개인용체내연속혈당측정시스템과 함께 사용하여 실시간 저혈당 주입정지기능(LGS) 시험자료를 제출하여 검토되었음을 알려드린다”라고 답했고 의료기기 사이버보안에 대해서도 “‘의료기기 사이버보안 허가심사 가이드라인’에 따른 의료기기 사이버보안 요구사항을 적용하고 요구사항에 따른 적합성 입증자료를 제출하여 검토되었음을 알려드린다”라며 본질을 외면하는 회피성 답변만 늘어놓고 있다.
시민연대는 “G2E 사 제품은 덱스콤 사의 3시간 지연 데이터(3시간 전 혈당값)을 사용(덱스콤 API)하여 환자 안전에 대한 문제가 있다”라고 지적하고 “G2E 사는 호환을 표방한 제품의 제조사와 파트너십이나 정식 계약을 맺지 않아 불법이므로 허가취소를 해야 한다”라고 밝혔다.
이에 대해 식약처는 “G2E 사 인슐린주입기의 허가 심사시 덱스콤, 에보트사의 연속혈당측정기(CGM)와 호환성 시험을 설정하여 시험함으로써 3시간 지연 데이터를 사용하지 않고 실시간으로 데이터가 전달되고 있음을 확인하였음을 알려드린다”라며 “G2E 사의 인슐린주입기는 귀하가 3시간 지연 데이터라고 언급한 덱스콤 API 데이터가 아닌 덱스콤 Share 데이터를 사용한다. 의료기기법령에서는 제조사가 다른 복수의 의료기기가 호환(또는 연동)되어 사용하는 경우 두 회사 간 상호 파트너십에 관한 사항은 규정되어 있지 않음을 알려드린다. 아울러 G2E 사가 호환된다고 표방한 덱스콤 및 애보트 사의 연속혈당측정기(CGM) 허가증에도 타사의 의료기기를 호환하여 사용하는 것에 대하여 제한하고 있는 문구는 없음을 알려드린다”라고 답했다.
이는 컴퓨터 소프트웨어 정품을 쓰는 사람의 것을 복제해서 쓴다는 것이 합법이라는 말과 같은 것 아닌가? 하물며 국민의 생명이 달린 의료기기에 대한 인허가를 담당하는 식약처의 답변이라고는 믿기 어려운 답변이다.
또, 시민연대가 덱스콤 사에 이메일로 질의한 결과, 한국에서는 G2E 사를 비롯한 어떤 회사와도 계약이나 파트너십을 맺지 않았고, 계약이나 파트너십이 없으면 사용할 수 없다는 것이었다.
시민연대 이준형 사무국장은 “식약처의 답변에 따르면 인슐린주입장치에 CGM과 연결된 전 세계 어느 나라를 막론하고 어떤 프로그램, 어떤 제품이라도 당뇨병환자가 마음대로 호환해서 쓸 수 있고 남이 쓰는 프로그램도 Share(공유) 해서 쓸 수 있다는 것이 된다.”라며 “그래서 발생하는 환자의 생명에 대한 위협과 안전은 누가 지키고 보장해주나?”라고 반문했다.
그는 이어 “이는 환자 각자가 알아서 하라는 말과 다를 바가 없는데, 그러면 식약처는 왜 필요한가?”라며 “국민 건강을 책임진 보건복지부와 식약처는 각성해야 한다.”라고 목소리를 높였다.
한편, 시민연대는 국민 건강을 책임진 식약처의 무책임과 안일한 태도를 규탄하며 식약처와 국민을 속인 의혹이 있는 G2E 사에 대해 경찰에 고발장을 정식으로 접수한 상태다.