HTML5로 알려진 일련의 도구 쇼트는 데스크톱 기반의 소프트웨어 상에서 복합적인 기능을 웹사이트가 수행할 수 있도록 만들면서 더욱 강력한 기능들을 선사하고 있지만, 성능 자체가 강력해짐에 따라, 감당해야 할 다양한 책임들도 증가하고 있다.

웹사이트가 해당 데이터를 로컬 기반으로 저장하도록 지원하고 오프라인으로 코드를 수행하면서 카메라나 마이크로폰과 같은 하드웨어에 대한 접근이 악의적으로 수행될 수도 있다는 부분에 주목을 할 수 있다고 2012년 7월 미국 라스베이거스에서 개최된 블랙햇 보안 컨퍼런스에서 관계자들이 제시하고 있다. 현재까지, 백신이나 방화벽 소프트웨어는 사용자를 보호하기 위한 일련의 행위들을 지금까지 수행하지 않았던 것으로 전해진다.

HTML5 를 지원하는 브라우저를 하이재킹할 수 있도록 하는 여러 가지 방안들이 존재한다고 본 프레젠테이션을 수행한 인도계 기업인 Blueinfy의 관계자는 말하고 있는데, 사용자의 브라우저 상에서 수행되는 소형 운영 시스템을 가진 HTML5에 주목할 필요가 있는 것이다.

많은 개발자들이 HTML5에 점점 더 주목하고 있으며, 웹사이트를 더욱 강력하게 만드는 방법인 동시에 적절한 브라우저가 장착된 모든 기기에서 수행 가능한 소프트웨어를 개발할 수 있는 수단으로 간주하고 있지만, 본 기술로 인하여 나타날 수 있는 위험요소에 대한 관심이 상대적으로 적었던 것이 사실이다.

HTML5를 사용할 때 나타날 수 있는 10가지 공격유형에 주목할 필요성이 있음이 이번 프레젠테이션을 통하여 제시되었는데, 대부분 나타날 수 있는 주요 공격유형들은 사용자의 컴퓨터에 저장된 정보에 접근할 수 있도록 일련의 HTML5 트릭을 사용하는 악의적인 웹사이트를 방문하는 사용자들을 타깃으로 일련의 행위를 수행하고 있는 것으로 전해진다.

한 가지 예를 살펴보면, 누군가가 특정 금융기관의 웹사이트에 대한 방문을 시도하였을 때 거짓 로그인 정보를 제공하게 되거나, 해당 타깃 내부 네트워크를 탐색하기 위하여 HTML5를 사용하는 트릭을 제공할 수도 있다. 또 다른 형태의 방법은 다른 사이트의 브라우저에 캐싱되어 있는 개인 정보들을 포함한 데이터들을 엿보는 기능들을 수행할 수도 있다.

이와 같은 형태의 트릭들은 브라우저 외부의 특정 방법들이나 특정 형태의 컴퓨터들과 결부되어 제공되지는 않지만, HTML5 자체가 이와 같은 방법들을 사용하게 된다고 언급한다. 모바일 기기 상의 브라우저들도 HTML5 사이트에서 구동되고, 동일한 문제가 나타날 수 있는 것으로 전해진다. 이와 더불어, 다양한 모바일 애플리케이션 내부에서도 HTML5가 사용되는데 마찬가지 문제점들이 나타날 수 있는 것으로 전해진다. 하이브리드 애플리케이션의 경우 약 15퍼센트가 HTML5를 사용하고 나머지는 원시코드를 사용하는데, 모바일 상의 트렌드는 하이브리드 형태로 진화하고 있다.

이번 프레젠테이션 이후, 관계자들은 웹 사용자들에게 이와 같은 문제점을 알린 다음에 애플리케이션들이 가질 수 있는 취약성을 해결하기 위한 일련의 방법들과 HTML5를 올바로 사용할 수 있는 방법 등을 제시하고 있다.

백신 소프트웨어는 이론적으로 웹 코드를 속일 수 있다고 관계자들은 제시한다. 일상적인 형태의 접근이라 할지라도 다양한 형태의 문제들을 통하여 신원을 알아낼 수 있고 특정 코드가 사용되는 형태에 대한 탐색을 통하여 쉽게 탐지할 수 있는 부분들을 알아낼 수 있는 것으로 전해진다.

보안 전문기업인 Qualy사의 관계자들은 새로운 웹 기술들이 가지고 있는 위험성에 대하여 경고하고 있는데, 웹소켓이라는 일련의 기술을 사용하여, HTML5의 일련의 형태를 지원하고 있으며 웹사이트를 방문할 때마다 해당 브라우저에 대한 원격 통제를 가능하도록 만든다. 웹소켓의 경우 웹페이지의 공급자들에게 스트리밍 동영상이나 쌍방향 게임과 같은 부분들에 유용한 사용자들의 브라우저에 대한 빠른 접속이 가능하도록 만들 수 있는 것으로 전해진다.

많은 사이트들이 암호화나 특정 보호 장치 없이 웹소켓에 대한 연결기능을 사용하는 것으로 전해지는데, 악의적인 사이트들이 이와 같은 웹소켓을 사용하여 크롬 브라우저를 원격 통제하는 것으로 전해진다. 이번 프레젠테이션에서 발표자들은 해당 브라우저가 특정 사이트들을 드러나지 않고 어떻게 공격하고, 브라우징 히스토리나 쿠키들을 어떻게 훔칠 수 있는지를 실제적으로 증명한 것으로 전해진다.

악의적인 트래픽을 발견할 수 있는 메커니즘 중 어떠한 부분들도 웹소켓 프로토콜을 인지하는 방화벽을 가지고 있지 않은 것으로 전해진다. 웹소켓에 대한 일련의 연결정보가 필요할 것으로 전해지고, 방화벽 형태의 프로그램에 대한 새로운 특성들이 추가되면서 수행 자체에 대한 다양한 방책 마련이 추후 요구될 것으로 전해진다.

의료기기들이 수없이 많은 생명을 구하고, 데이터 저장과 무선 통신과 같이 수많은 기능을 통하여 환자들의 치료와 다른 향상된 역할을 하고 있다. 그러나 최근 연구에 따르면 의료 연구자들과 컴퓨터 과학자들로 이루어진 공동연구팀은 의료기기들에서 보안과 개인정보보호 문제를 얼마나 잘 준수하고 있는지에 대하여 경고하고 있다.

Beth Israel Deaconess의학센터, Harvard의학대학 및 Massachusetts Amherst대학의 연구자들은 FDA(U.S. Food and Drug Administration’s)의 10년간 리포트를 분석하였다. 그리고 기기들의 안전을 평가하기 위한 기존의 매커니즘들이 보안과 개인정보보호 문제에 적합하지 않다는 것을 발견했다. 연구자들과 SHARPS(Strategic Healthcare IT Advanced Research Projects on Security)의 멤버들은 PLoS ONE 저널에 이것에 대하여 발표하였다.

전반적으로 그들은 의료기기 보안을 위해 더 효율적인 보고 시스템을 주장하고 있다. 왜냐하면 급속히 퍼질 수 있는 보안 문제를 해결해야만 하기 때문이다.

컴퓨터과학자와 UMass Amherst의 의료기기 보안전문가인 Kevin Fu 및 Harvard대학의 전기생리학자인 Daniel Kramer는 악성코드에 민감한 컴퓨팅 시스템에 의존하고 있는 기기들의 보안 및 개인정보보호 문제에 대하여 효과적이며, 효율적으로 데이터를 모으는 방법에 대하여 연방 보안전략은 다시 생각해야할 것이라고 말했다. 그래서 심장질환과 당뇨를 치료하기 위해서 이러한 기기들을 사용하는 수백만명의 환자들에 영향을 줄 수 있는 문제들을 감지해야 할 것이라고 주장했다.

Fu는 무선통신과 인터넷 연결이 기기를 제어하고 환자 정보를 전송하는데 사용되어지고 있다고 말했다. 그러나 위험에 대한 것은 거의 알려지지 않고 있다. Fu와 그의 동료들은 FDA가 보유하고 있는 세가지의 포괄적이며, 공개적인 데이터베이스에서 제품 리콜과 부정적인 사건 보고에 대하여 평가하기 시작했다. 즉, 기기 리콜에 대하여 주간 리포트, MREDR(Medical and Radiation Emitting Device Recalls)에 대한 데이터베이스 및 MAUDE(Manufacturer and User Facility Device Experience) 데이터베이스에 대한 것이었다.

그들은 보안 또는 개인정보보호 문제와 직접적으로 관련된 리콜이나 부정적인 사건에 대하여 발견하지 못했다. 이러한 연구 전략을 통해 보안 또는 정보보호 문제의 관심 부족을 안심시킬 수 있지만, 저자들은 이러한 데이터베이스의 현재 분류 방법들이 새롭게 기기의 오류를 발생시킬 수 있기 때문에 적합하지 않다고 결론지었다.

실제로 보안과 개인정보보호 문제를 위한 FDA의 부정적인 사건 리포팅 매커니즘의 효율성을 테스트하기 위해서 공동 저자들 중 한명은 2011년 7월에 자동화된 외부제세동기를 다룬 리포트에서 소프트웨어 취약성을 언급하였다. 9개월 뒤에 이것이 공식적으로 처리되어지고 공개되어졌다. “기존의 컴퓨터 보안 취약성이 수시간내에 발견되어지기 때문에, 9개월간 동안 처리가 지연되는 것은 소프트웨어 기반의 의료기기들의 보안을 보장하는데 효율적인 전략이 될 수 없다.” 라고 Fu와 동료들이 지적했다.

소프트웨어 관련 리콜들은 앞으로 특별한 문제가 될 것이라고 전문가들이 덧붙였다. 기존의 악성코드는 이미 의료 컴퓨팅 시스템을 감염시켰다. 예를 들어 미국퇴역군인국(Department of Veterans Affairs)은 공장에 설치된 기기가 이미 감염되었다는 것을 발견했다. 그리고 Fu는 최근에 산소호흡기 소프트웨어를 만드는 의료기기 제조업체들의 웹사이트가 악성코드에 감염되었다는 것을 발견하였다.

“의료기기들은 매일 수백만명의 사람들에게 엄청나게 좋은 일을 하고 있다.” 라고 미국 표준기술연구소(U.S. National Institute of Standards and Technology)의 정보보안 및 개인정보보호 자문위원회 의장인 Daniel Chenok가 말했다. 그는 기기들이 안전한지에 대하여 소비자들이 여러 번 생각하지 않도록 사이버보안 문제를 확신시킬 수 있는 단계가 필요하다고 덧붙였다.

올해 초, Chenok은 보건복지부장관(HHS(Health and Human Services Secretary)) Kathleen Sebelius에게 보고된 사건이 부족한 것은 의료기기들이 사이버보안 위협에 대한 정부의 효율적인 보고 매커니즘이 부족하기 때문이라고 말했다. 그는 “이러한 사이버보안 문제가 어떤 것인지를 정말 알지 못하고 있다. 문제가 얼마나 크며, 정부가 이것을 어떻게 다루어야할지를 모르고 있는 것 같다.” 라고 이 문제에 대하여 덧붙였다.

근 본적인 문제는 FDA의 늦은 처리가 아니라 의료기기들의 취약성이라고 Urbana-Champaign의 Illinois대학 Carl Gunter가 덧붙였다. “물론 이상적인 세계에서는 기기들이 보안과 개인정보보호 취약성 문제가 없을 것이다. 그래서 발표과정이 느린 것의 문제는 아닌 것이다. 그러나 기술적인 장애가 심각하며, FDA 감시가 방어를 위한 주요한 틀이 될 것이다. 저자들은 이 시스템을 향상시키는데 필요한 중요한 서비스를 하고 있는 것이다.” 라고 그가 말했다.