이석원 기자
아마존 에코나 구글 홈 같은 음성 인식 비서를 탑재한 스피커가 피싱은 물론 도청용 앱을 승인하는 게 가능하다는 보도가 나왔다.
독일 SR랩스(Security Research Labs) 보안 연구팀이 음성인식 스피커 악용 방법을 알리기 위해 알렉사와 구글홈용 액션을 만들었다. 운세 앱 같은 합법적 기술로 가장한 것으로 사실은 시스템 취약점을 파고들어 피싱과 도청을 할 수 있는 기능을 내장하고 있다.
타사 앱을 작동시키는 방식은 먼저 스마트 스피커가 사용자에게 질문을 한 뒤 마이크가 조금만 시간이 지나면 활성화된다. 예를 들어 쇼핑 앱 바구니에 뭔가를 추가하도록 알렉사에 지시하면 앱은 제품 세부 정보를 확인하고 주문대로인지 여부를 체크한다. 이 때 에코 마이크가 몇 초만에 활성화되거나 또는 아니라면 다시 꺼진다.
하지만 악성 앱은 마이크를 이용하면서 이 상태를 유지한다. 질문을 확인 후 일시 정지를 일으키는 특정 문자열을 이용한 것이다. 그간 대화를 기록한 내용을 공격자 서버로 전송하는 도청이 실현 가능한 것이다. 실제 동작은 동영상을 통해 확인할 수 있다.
피싱도 기본 원리는 마찬가지다. 예를 들어 운세 앱으로 이 국가에선 사용이 허용되지 않는다는 오류 메시지를 반환한 뒤 긴 일시 중지를 이용하고 방금 앱이 끝난 것처럼 생각하게 속인 다음 아마존이나 구글인 척 한 상태에서 비밀번호를 속여 질문을 던지는 식이다.
이런 위장 앱은 모두 구글과 아마존의 승인을 통과했다고 한다. SR랩스 조사 결과 양사가 비공개적으로 보고된 이후 앱을 삭제했다고 한다. 이들 기업은 모두 기술과 액션이 비슷한 기능을 가진 걸 방지하게 승인 프로세스를 바꿀 것이라고 밝혔다고 한다.
SR랩스는 구글이나 아마존에 심사 엄정화를 요구하는 한편 사용자도 스마트 스피커를 악용한 음성 앱에 대한 잠재적 위험을 자각하고 새로운 음성 앱을 사용할 때에는 스마트폰에 새로운 앱을 설치하는 것처럼 신중을 기하라고 경고했다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
정용환 기자
