Home > 열린마당 > 공개SW 소식

공개SW 소식

7월 9일

ⓒCIO Korea, George Nott | Computerworld Australia

 

널리 사용되는 오픈소스 게놈 분석 소프트웨어의 취약점으로 공격자가 환자 유전자 배열 기록을 수정할 경우 환자가 비효율적인 독성 약물을 처방받을 위험이 있다는 주장이 제기됐다.

 

미국 샌디아국립연구소(Sandia National Laboratories)의 연구원은 게놈 매칭 프로그램인 BWA(Burrows-Wheeler Aligner)에서 취약점을 확인하고 개발자에게 이 사실을 전달했다. 다행히 취약점을 해결해 최신 배포판에 반영됐다.

 

환자의 유전 정보를 사용하여 치료를 안내하는 과정은 환자의 세포에서 유전 콘텐츠를 시퀀싱하고 그 열을 표준화된 인간 게놈과 비교하는 것을 포함한다.

 

연구원들은 BWA 프로그램이 표준화된 인간 게놈을 정부 서버에서 가져왔을 때 이 취약점을 발견했다고 말했다. 표준화된 게놈 배열은 안전하지 못한 채널을 오가며 '중간자 사람' 공격의 기회를 만들었다.

이로 인해 시퀀싱에서 얻은 환자의 유전 정보가 변경돼 표준 시퀀스로 악성코드가 전송됐다.

 

연구원은 "악성코드는 게놈 매핑 과정에서 환자의 생체 유전 정보를 바꿀 수 있어 아무도 모르게 최종 분석을 부정확하게 만든다"라고 말했다.

 

그는 "실제로 이는 의사가 정확한 정보를 가지고 있다면 환자에게 효과가 없거나 독성이 있다는 유전자 분석에 근거한 약물을 처방할 수 있음을 의미한다"라고 덧붙였다.

 

매핑 소프트웨어를 사용하는 의사, 법의학 실험실, 게놈 시퀀싱 회사는 결과가 악의적으로 변경되는 것에 일시적으로 취약한 것으로 나타났다. 그러나 소비자가 직접 유전자 검사를 의뢰하는 경우는 다른 염기 배열 분석 방법을 따르기 때문에 영향을 받지 않았다.

 

샌디아국립연구소의 생물정보과학 연구원으로 이 문제를 발견하는 데 도움을 주었던 코레이 허드슨은 "우리는 BWA 코드의 다른 곳에서 수행된 것처럼 좀더 안전한 버퍼 할당 방식을 사용하여 쉽게 해결할 수 있는 고전적인 버퍼 오버플로 취약점을 활용했다"라고 이야기했다.

 

"이 공격으로 환자의 유전 정보가 바뀔 수 있음을 알게 돼 책임을 느껴 사실을 공개하게 됐다"라고 허드슨은 덧붙였다.

 

미국 컴퓨터비상대응팀(CERT)의 사이버 보안 전문가를 비롯한 미국 공공 기관에 경고가 이루어졌고 국립 표준기술연구소(National Institutes of Standards and Technology Institute)는 소프트웨어 개발자, 유전체 연구원 및 네트워크 관리자에게 이 내용을 전달했다.

 

이 취약점의 어떤 공격은 현재 알려지지 않았다.

 

허드슨은 "다른 게놈 소프트웨어나 파이프라인의 다른 영역을 겨냥한 공격을 완화하기 위한 주요 권고는 데이터 저장과 처리 과정을 분리하는 것이다. 우리는 이러한 책임의 분리가 유전체 연구와 처리를 수행하는 모든 기관에서 구현된 표준 모범 사례가 돼야 한다고 생각한다"라고 강조했다. 

 

허드슨과 그의 팀은 오픈소스 소프트웨어를 분석하는 보안 연구원들에게 약점을 찾아 제노믹스 프로그램을 살펴보도록 했다. 허드슨은 산업 제어 시스템과 소프트웨어가 중요한 인프라에 사용되는 것은 흔한 일이지만 유전체 보안을 위한 새로운 영역이 될 것이라고 말했다.

 

"우리의 목표는 모범 사례를 개발하는 데 도움을 줌으로써 시스템을 더 안전하게 사용하는 것"이라고 그는 전했다.

 

이 연구는 보안 취약점에 대한 다른 게놈 매핑 소프트웨어의 테스트와 함께 계속될 예정이다.

 

※ 본 내용은 CIO Korea (http://www.ciokorea.com)의 저작권 동의에 의해 공유되고 있습니다.

Copyright ⓒ CIO Korea. 무단전재 및 재배포 금지

[원문출처 : http://www.ciokorea.com/news/125736]

공개SW 소식 게시물 리스트 표
번호 제목 조회수 작성
공지 [주간 OSS 동향 리포트] 2019 SW주간, 오픈소스 트렌드부터 개방형OS까지 316 2019-12-08
공지 [주간 OSS 동향 리포트] 한·중·일, 빅데이터·5G·인공지능의 3국 간 협업 프로젝트 추진 위해 협력 1049 2019-11-26
공지 [주간 OSS 동향 리포트] 개발자를 위한 오픈소스 프로젝트 활용팁 1184 2019-11-20
공지 [주간 OSS 동향 리포트] 금융권 통합 오픈API 플랫폼 선보여 …오픈소스 기반 자체개발 주목 1148 2019-11-17
8526 모질라, 새로운 브라우저용 퍼징 플랫폼 오픈소스로 공개 197 2019-07-16
8525 [주간 OSS 동향 리포트] 기업이 오픈소스를 좋아하는 10가지 이유 999 2019-07-15
8524 오픈소스 분산데이터 스트리밍 소프트웨어 Apache Kafka 2.3 버전 출시 294 2019-07-12
8523 [이슈분석]행안부, 행정·공공기관 윈도 전환 전수조사한다 285 2019-07-12
8522 "자바를 iOS로 이식하자"··· 새 오픈JDK 프로젝트 제안 325 2019-07-11
8521 큐브리드, 굿펌스 ‘최우수 오픈소스 데이터베이스 관리 소프트웨어 10선’에 선정 254 2019-07-11
8520 IBM, 레드햇 인수 완료…“하이브리드 클라우드 공략 박차” 270 2019-07-11
8519 기업이 오픈소스를 좋아하는 10가지 이유 470 2019-07-10
8518 '환자 유전자 배열 기록 편집 가능' 오픈소스 취약점 제기 214 2019-07-10
8517 리눅스 서버 노리는 골랭 기반 멀웨어, 모네로 채굴한다 201 2019-07-10
맨 위로
맨 위로