널리 사용되는 오픈소스 게놈 분석 소프트웨어의 취약점으로 공격자가 환자 유전자 배열 기록을 수정할 경우 환자가 비효율적인 독성 약물을 처방받을 위험이 있다는 주장이 제기됐다.
미국 샌디아국립연구소(Sandia National Laboratories)의 연구원은 게놈 매칭 프로그램인 BWA(Burrows-Wheeler Aligner)에서 취약점을 확인하고 개발자에게 이 사실을 전달했다. 다행히 취약점을 해결해 최신 배포판에 반영됐다.
환자의 유전 정보를 사용하여 치료를 안내하는 과정은 환자의 세포에서 유전 콘텐츠를 시퀀싱하고 그 열을 표준화된 인간 게놈과 비교하는 것을 포함한다.
연구원들은 BWA 프로그램이 표준화된 인간 게놈을 정부 서버에서 가져왔을 때 이 취약점을 발견했다고 말했다. 표준화된 게놈 배열은 안전하지 못한 채널을 오가며 '중간자 사람' 공격의 기회를 만들었다.
이로 인해 시퀀싱에서 얻은 환자의 유전 정보가 변경돼 표준 시퀀스로 악성코드가 전송됐다.
연구원은 "악성코드는 게놈 매핑 과정에서 환자의 생체 유전 정보를 바꿀 수 있어 아무도 모르게 최종 분석을 부정확하게 만든다"라고 말했다.
그는 "실제로 이는 의사가 정확한 정보를 가지고 있다면 환자에게 효과가 없거나 독성이 있다는 유전자 분석에 근거한 약물을 처방할 수 있음을 의미한다"라고 덧붙였다.
매핑 소프트웨어를 사용하는 의사, 법의학 실험실, 게놈 시퀀싱 회사는 결과가 악의적으로 변경되는 것에 일시적으로 취약한 것으로 나타났다. 그러나 소비자가 직접 유전자 검사를 의뢰하는 경우는 다른 염기 배열 분석 방법을 따르기 때문에 영향을 받지 않았다.
샌디아국립연구소의 생물정보과학 연구원으로 이 문제를 발견하는 데 도움을 주었던 코레이 허드슨은 "우리는 BWA 코드의 다른 곳에서 수행된 것처럼 좀더 안전한 버퍼 할당 방식을 사용하여 쉽게 해결할 수 있는 고전적인 버퍼 오버플로 취약점을 활용했다"라고 이야기했다.
"이 공격으로 환자의 유전 정보가 바뀔 수 있음을 알게 돼 책임을 느껴 사실을 공개하게 됐다"라고 허드슨은 덧붙였다.
미국 컴퓨터비상대응팀(CERT)의 사이버 보안 전문가를 비롯한 미국 공공 기관에 경고가 이루어졌고 국립 표준기술연구소(National Institutes of Standards and Technology Institute)는 소프트웨어 개발자, 유전체 연구원 및 네트워크 관리자에게 이 내용을 전달했다.
이 취약점의 어떤 공격은 현재 알려지지 않았다.
허드슨은 "다른 게놈 소프트웨어나 파이프라인의 다른 영역을 겨냥한 공격을 완화하기 위한 주요 권고는 데이터 저장과 처리 과정을 분리하는 것이다. 우리는 이러한 책임의 분리가 유전체 연구와 처리를 수행하는 모든 기관에서 구현된 표준 모범 사례가 돼야 한다고 생각한다"라고 강조했다.
허드슨과 그의 팀은 오픈소스 소프트웨어를 분석하는 보안 연구원들에게 약점을 찾아 제노믹스 프로그램을 살펴보도록 했다. 허드슨은 산업 제어 시스템과 소프트웨어가 중요한 인프라에 사용되는 것은 흔한 일이지만 유전체 보안을 위한 새로운 영역이 될 것이라고 말했다.
"우리의 목표는 모범 사례를 개발하는 데 도움을 줌으로써 시스템을 더 안전하게 사용하는 것"이라고 그는 전했다.
이 연구는 보안 취약점에 대한 다른 게놈 매핑 소프트웨어의 테스트와 함께 계속될 예정이다. ciokr@idg.co.kr