테크레시피

“수정은 됐지만…” 알렉사 도청 관련 취약점

보안 기업 체크포인트리서치(Check Point Research)는 아마존 음성 길잡이 알렉사에 취약점이 있어 사용자가 링크를 클릭하면 설치한 스킬을 삭제하거나 음성 기록을 가져올 수 있었다고 보고했다. 이 취약점은 2020년 6월 아마존에 알리고 문제가 해결됐다고 한다.

보고서에 따르면 아마존과 알렉사 서브도메인 일부가 관리 소스 공유 CORS로 설정, 크로스 사이트 스크립팅 XSS 취약점이 있었다고 밝혀졌다고 한다. 공격자는 XSS를 이용해 CSRF 토큰을 취득할 수 있어 소유자를 대신해 스마트홈 설치 요소에 액세스할 수 있었다고 한다.

따라서 가능한 건 사용자 모르게 알렉사 기술을 자동 설치하거나 설치된 스킬 목록을 얻거나 몰래 기술을 삭제하거나 피해자 음성 기록을 얻거나 주소 등 개인 정보를 취득할 수 있었다는 것. 또 기존 기술을 개조해 에코 장치 근처에서 대화를 도청할 수 있었다고 한다.

체크포인트는 구체적인 공격 방법을 공개하지 않았지만 사물인터넷 장치는 아직 충분한 보안을 제공하지 않기 때문에 사이버 범죄자에겐 매력적인 대상이다. 또 사물인터넷 장치를 연결하는 브릿지에 약점이 있는 것으로 나타나 브릿지와 장치를 항상 안전한 상태로 유지해야 한다고 경고하고 있다.

아마존 알렉사는 보안이나 개인 정보에 대해 종종 논란이 있다. 2019년에는 아마존 직원이 인식 정확도 향상을 위해 녹음 데이터를 듣고 있는 것이 밝혀졌고 반년 뒤에는 합법적인 기술과 가장한 위장 앱에서 도청과 낚시가 가능하고 검증된 것도 있다.

장치 보급 대수에 따라 사이버 공격 대상이 되기 쉬워진다는 건 윈도PC에서도 입증된 것이다. 앞으로 더 음성 지원기기가 퍼질 것으로 예상되는 만큼 취약점을 악용하는 해커와 이를 막는 보안 기업간 다람쥐 쳇바퀴 도는 경쟁이 계속될 것이다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사