보안 / 스마트폰

비밀 음성 명령으로 스마트폰을 해킹한다

Michael Kan | IDG News Service 2016.07.08
연구원들은 인터넷에서 걱정할 만한 새로운 무언가를 발견했다. 악의없는 한 유투브 동영상에서 '소리를 낮춘 음성'이 사용자가 알아차리지 못하게 근처 스마트폰에 명령을 내릴 수 있다는 것을 발견한 것이다.

이 연구원들은 이 위협을 설명한 보고서를 다음달 미국 텍사스 오스틴에서 개최되는 USENIX 보안 심포지엄에서 발표할 것이라며, 그들은 동영상을 보여줬다.




조지타운 대학 교수이자 이 논문 저자 가운데 한 사람인 미가 셀은 "음성인식은 구글 나우(Google Now)와 애플의 시리(Siri)와 같은 서비스 덕분에 급격하게 인기를 얻고 있다"며, "그러나 음성 소프트웨어는 기기를 해킹하기 쉽게 만들 수 있다"고 경고했다. .

이 팀은 인간은 해당 단어를 겨우 인지할 수 있는 수준이나 소프트웨어는 제대로 인지할 수 있는 음성으로 음성 명령을 훼손할 수 있다는 것을 발견했다. 한 마디로 귀신 같은 우웅대는 소리에서 단어를 뽑아낼 수 있다.

"오케이 구글, XKCD.com을 열어"라고 음성이 말하면 가까이에 있는 한 스마트폰이 URL을 열었다. 해커들이 이를 악용한다면 스마트폰을 악성코드가 담긴 웹사이트에 직접 접속하게 하거나 사진을 가져오게 폰에 지시할 수 있다.

이것이 언제든 가능한 것은 아니지만, 이는 숫자 놀음에 불과하다. 100만 명이 비밀 메시지가 담긴 이 동영상을 본다면, 이들 폰이 가까이에 있을 확률은 1만명이라 치면, 약 5,000개는 악성코드가 담긴 URL로 로드하는 것이다. 셀은 "5,000개의 스마트폰이 공격자의 명령 하에 놓이게 된다"고 말했다.

해커들이 음성 인식 소프트웨어의 세부사항과 자체 내부동작 방식을 알게 되면 인간이 판독하기 어려운 음성 명령어를 만들 수 있다.

연구원들은 안드로이드 폰으로 테스트하면서 음성 명령의 샘플들을 업로드했다. 자체 테스트를 해 본 결과, 이 명령 샘플들은 때때로 탐지되지 않거나 인식되지 않았다. 음성 샘플은 현재 위치가 어딘 지를 물었을 때 구글 나우는 이를 웅얼거림(procrastination)으로 들었다. 그러나 다른 시도에서는 아주 잘 작동했다. 다른 음성 샘플은 폰이 비행 모드로 전환할 것을 말하자 이를 실행했다.

이 보고서는 "이런 위협을 방어하기 위해서는 음성인식 소프트웨어 개발자들은 인간과 컴퓨터가 만들어낸 소리 간의 차이를 구별하기 위해 필터를 포함할 수 있다"고 말했다.  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.