Offcanvas

������������������������

'환자 유전자 배열 기록 편집 가능' 오픈소스 취약점 제기

널리 사용되는 오픈소스 게놈 분석 소프트웨어의 취약점으로 공격자가 환자 유전자 배열 기록을 수정할 경우 환자가 비효율적인 독성 약물을 처방받을 위험이 있다는 주장이 제기됐다.   미국 샌디아국립연구소(Sandia National Laboratories)의 연구원은 게놈 매칭 프로그램인 BWA(Burrows-Wheeler Aligner)에서 취약점을 확인하고 개발자에게 이 사실을 전달했다. 다행히 취약점을 해결해 최신 배포판에 반영됐다. 환자의 유전 정보를 사용하여 치료를 안내하는 과정은 환자의 세포에서 유전 콘텐츠를 시퀀싱하고 그 열을 표준화된 인간 게놈과 비교하는 것을 포함한다. 연구원들은 BWA 프로그램이 표준화된 인간 게놈을 정부 서버에서 가져왔을 때 이 취약점을 발견했다고 말했다. 표준화된 게놈 배열은 안전하지 못한 채널을 오가며 '중간자 사람' 공격의 기회를 만들었다. 이로 인해 시퀀싱에서 얻은 환자의 유전 정보가 변경돼 표준 시퀀스로 악성코드가 전송됐다. 연구원은 "악성코드는 게놈 매핑 과정에서 환자의 생체 유전 정보를 바꿀 수 있어 아무도 모르게 최종 분석을 부정확하게 만든다"라고 말했다. 그는 "실제로 이는 의사가 정확한 정보를 가지고 있다면 환자에게 효과가 없거나 독성이 있다는 유전자 분석에 근거한 약물을 처방할 수 있음을 의미한다"라고 덧붙였다. 매핑 소프트웨어를 사용하는 의사, 법의학 실험실, 게놈 시퀀싱 회사는 결과가 악의적으로 변경되는 것에 일시적으로 취약한 것으로 나타났다. 그러나 소비자가 직접 유전자 검사를 의뢰하는 경우는 다른 염기 배열 분석 방법을 따르기 때문에 영향을 받지 않았다. 샌디아국립연구소의 생물정보과학 연구원으로 이 문제를 발견하는 데 도움을 주었던 코레이 허드슨은 "우리는 BWA 코드의 다른 곳에서 수행된 것처럼 좀더 안전한 버퍼 할당 방식을 사용하여 쉽게 해결할 수 있는 고전적인 버퍼 오버플로 취약점을 활용했다"라고 이야기했다. "이 공격으로 환자의 유전 정보가 바뀔 수 있음을 알게 돼 책...

취약점 컴퓨터비상대응팀 처방 생물정보과학 샌디아국립연구소 CERT 유전자 게놈 유전자 정보 공격 표준기술연구소

2019.07.09

널리 사용되는 오픈소스 게놈 분석 소프트웨어의 취약점으로 공격자가 환자 유전자 배열 기록을 수정할 경우 환자가 비효율적인 독성 약물을 처방받을 위험이 있다는 주장이 제기됐다.   미국 샌디아국립연구소(Sandia National Laboratories)의 연구원은 게놈 매칭 프로그램인 BWA(Burrows-Wheeler Aligner)에서 취약점을 확인하고 개발자에게 이 사실을 전달했다. 다행히 취약점을 해결해 최신 배포판에 반영됐다. 환자의 유전 정보를 사용하여 치료를 안내하는 과정은 환자의 세포에서 유전 콘텐츠를 시퀀싱하고 그 열을 표준화된 인간 게놈과 비교하는 것을 포함한다. 연구원들은 BWA 프로그램이 표준화된 인간 게놈을 정부 서버에서 가져왔을 때 이 취약점을 발견했다고 말했다. 표준화된 게놈 배열은 안전하지 못한 채널을 오가며 '중간자 사람' 공격의 기회를 만들었다. 이로 인해 시퀀싱에서 얻은 환자의 유전 정보가 변경돼 표준 시퀀스로 악성코드가 전송됐다. 연구원은 "악성코드는 게놈 매핑 과정에서 환자의 생체 유전 정보를 바꿀 수 있어 아무도 모르게 최종 분석을 부정확하게 만든다"라고 말했다. 그는 "실제로 이는 의사가 정확한 정보를 가지고 있다면 환자에게 효과가 없거나 독성이 있다는 유전자 분석에 근거한 약물을 처방할 수 있음을 의미한다"라고 덧붙였다. 매핑 소프트웨어를 사용하는 의사, 법의학 실험실, 게놈 시퀀싱 회사는 결과가 악의적으로 변경되는 것에 일시적으로 취약한 것으로 나타났다. 그러나 소비자가 직접 유전자 검사를 의뢰하는 경우는 다른 염기 배열 분석 방법을 따르기 때문에 영향을 받지 않았다. 샌디아국립연구소의 생물정보과학 연구원으로 이 문제를 발견하는 데 도움을 주었던 코레이 허드슨은 "우리는 BWA 코드의 다른 곳에서 수행된 것처럼 좀더 안전한 버퍼 할당 방식을 사용하여 쉽게 해결할 수 있는 고전적인 버퍼 오버플로 취약점을 활용했다"라고 이야기했다. "이 공격으로 환자의 유전 정보가 바뀔 수 있음을 알게 돼 책...

2019.07.09

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13