출처=셔터스톡
출처=셔터스톡

스마트 기기의 디지털 음성 비서 플랫폼을 조종하는 신종 해킹 수법이 등장해 보안 전문가들이 이용자들의 주의를 당부하고 있다.

‘서핑어택(Surfing Attack)’으로도 알려진 이 공격은 사람의 귀에 들리지 않는 유도 초음파를 이용해 애플의 시리(Siri)나 아마존의 알렉사(Alexa) 같은 음성 인식 프로그램을 조종하고 통제한다.

해커는 이런 방식으로 링(Ring) 등 스마트 기기 홈 보안 시스템을 조작해 문을 열거나 실내 온도를 마음대로 바꿀 수 있다.

보안 전문가들은 해커가 비교적 먼 거리에서 유도 초음파를 전송해 눈에 보이지 않는 스마트 기기의 음성 인식 비서와 여러 차례 정보를 주고받을 수 있으며, 이 초음파 정보는 책상처럼 두께가 있는 물체도 통과할 수 있다고 설명한다.

이번 연구를 이끈 미시간주립대 옌치번(Qiben Yan) 교수는 해커들이 사용한 초음파에 대해 “사람의 귀에는 전혀 들리지 않지만, 음성 인식 비서는 이를 음성 명령으로 받아들여 그에 따른 작업을 수행하게 된다”고 설명했다. 그는 이런 식으로 음성 인식 비서에 명령을 전송해 통제할 수 있다면서, 특히 스마트 기기를 탁상 위에 올려놓고 한동안 사용하지 않을 때 공격의 표적이 될 가능성이 크다고 경고했다.

얀 교수는 해커들이 스마트 기기에 저장된 연락처에 접근해 다른 기기도 통제할 수 있다면서, 해당 기기와 연결된 스마트홈 기능이나 자동차 또는 현관문의 잠금장치를 조작할 수 있고 실내 온도도 바꿀 수 있다고 설명했다. 그는 또 문자로 전송되는 보안 인증번호도 해커에게 전달될 수 있기 때문에 이중인증 보안 체계에도 빨간불이 켜졌다고 강조했다.

얀 교수를 비롯한 전문가들은 5달러면 누구나 살 수 있는 전기음향변환기의 한 종류인 압전변환기를 이용해 다음 표에 나와 있는 스마트 기기에 성공적으로 침투했다고 전했다.

초음파 공격으로 침투하는 데 성공한 스마트 기기 목록
초음파 공격으로 침투하는 데 성공한 스마트 기기 목록

전문가들은 이 외에도 수많은 스마트 기기가 초음파 공격에 노출돼 있으며, 기기에 실리콘 커버를 씌워도 별다른 차이가 없다고 설명했다.

서핑공격: 초음파를 이용해 몰래 음성 인식 비서 등 스마트 기기를 조종하는 해킹 수법 (유튜브 영상)

초음파 공격으로부터 스마트 기기를 보호하려면 우선 기기가 잠금 상태일 때 음성 인식 기능을 꺼둬야 한다. 옷감 등에 기기를 올려놓으면 초음파 투과를 막을 수 있다. 또한, 원목 등 휴대전화 케이스로는 잘 사용하지 않는 재질의 케이스를 쓰는 것도 도움이 될 수 있다.

Benjamin Powers Benjamin is the privacy reporter at CoinDesk where he focuses on data and financial privacy, information security, and digital identity. This includes everything from cryptography to public policy debates and data breaches. He was previously at BREAKER Magazine and Inverse. His work has been featured in the Wall Street Journal, Daily Beast, Rolling Stone, and the New Republic, among others. He does not own any cryptocurrencies.
제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지