통신사와 포털은 물론 해외 직구 등 다양한 경로를 통해 국내에 깔린 AI 스피커가 100만 대를 넘어섰다. 애플 음성비서 시리를 탑재한 홈팟이나 페이스북 스마트 스피커도 올해 국내 정식 출시될 가능성이 크다.
AI 스피커는 가전제품 제어나 스트리밍 음악 재생과 정보 검색 등 다양한 기능을 갖추고 있다. 그러나 이들 스피커를 노리는 범죄자들의 수법은 날로 진화하고 있다. 펌웨어 개조부터 초음파 공격까지 다양한 기법이 개발되어 있다.
■ 나도 모르는 사이 가짜 펌웨어가…
3일 정보통신기술진흥센터(IITP) 주관으로 서울 양재동 L타워에서 '테크&퓨쳐 인사이트 콘서트'가 열렸다.
이 행사에서 스마트홈·빌딩 보안 위협을 주제로 세미나를 진행한 세종대 정보보호학과 윤주범 교수는 "스마트TV나 AI 스피커의 펌웨어 업데이트 기능이 오작동이나 정보 유출을 일으킬 수 있다"고 설명했다.
AI 스피커 등 스마트홈 기기가 펌웨어를 업데이트할 때 제조사나 통신사가 공급한 것이 맞는지 확인하는 과정이 필요하다. 그러나 이 과정을 실수로 빠뜨리면 외부에서 공격이 가능한 펌웨어로 업데이트될 가능성이 충분하다.
■ "듣지도 못하고 당하는 초음파 공격"
음성을 알아 듣는 AI 스피커의 특성 때문에 생기는 뜻밖의 공격 방법도 있다. 지난 해 9월 중국 저장대학교 보안 전문가들이 국제 컨퍼런스인 ACMCCS에서 공개한 방법은 바로 초음파를 이용하는 '돌핀어택'이다.
인간은 20kHz 이상의 주파수를 들을 수 없다. 그러나 중국 보안 전문가들은 재료비 기준 3달러(약 3천500원)가 채 안되는 케이블과 초음파 발신기, 3.5mm 이어폰이 달린 스마트폰을 이용해 AI 스피커에 초음파를 들려 주는 기상천외한 공격을 수행했다.
그 결과 아마존 에코 등 AI 스피커는 물론 애플 시리, 구글 나우, 삼성전자 S보이스, 마이크로소프트 코타나 등 거의 대부분의 음성비서가 초음파에 반응해 엉뚱한 동작을 보였다. 일부 음성비서는 엉뚱한 웹사이트로 연결되기도 했다.
■ AI 스피커를 뚫으면 못할 일이 없다
AI 스피커에 가짜 펌웨어나 조작된 펌웨어를 심어 뒷문을 열기만 하면, 할 수 있는 일은 무궁무진하다. 먼저 AI 스피커에 내장된 마이크로 음성을 엿들을 수 있다. 또 AI 스피커와 연결된 유무선 공유기를 공격하면 같은 네트워크 안에 있는 다른 기기 목록을 파악해 추가 공격도 가능하다.
예를 들어, AI 스피커를 쓰고 있는 사람이면 스마트폰 앱을 이용해 원격 조정이 가능한 스마트 도어락, 혹은 외출 중 집안을 실시간 감시할 수 있는 카메라를 쓰고 있을 가능성이 크다. 음성과 영상을 빼돌려 사생활을 엿보는 것은 물론 도난사고도 충분히 벌어질 수 있다.
SK텔레콤이 2년 전 공개한 스마트홈 관련 광고 영상은 이런 상황을 코믹하게 그렸다. 부부가 와이파이로 연결된 도어락과 보일러, 로봇청소기 등을 스마트폰으로 조작하며 서로에게 골탕을 먹이는 내용이다. 그러나 이런 일이 타인에 의해 벌어진다면 재밌어 할 사람은 아무도 없다.
■ "간단한 대처로 보안 사고 예방할 수 있다"
일반 소비자가 AI 스피커를 노린 모든 위협에 100% 대처할 수는 없다. 그러나 간단한 대처를 통해 보안 사고를 미연에 막는 것은 충분히 가능하다. 보안업체 시만텍이 지난 해 11월 AI 스피커 이용자를 위해 내놓은 가이드 중 몇 가지 중요한 내용을 추려 소개해 보면 다음과 같다.
1. 허락 받지 않은 사람들이 스마트 스피커를 만질 수 없게 하고 연결된 유무선공유기와 PC의 보안에도 신경을 써야 한다.
2. AI 스피커에 스마트 도어락을 연결해서는 안된다. 외부 침입자가 바깥에서 "앞문 좀 열어줘", "영상 녹화를 꺼줘"라고 외쳐서 물리적인 보안을 무력화시킬 수 있다. 가능하다면 당신의 목소리만 알아 듣게 설정하라.
관련기사
- 페이스북, 미국 빼고 스마트 스피커 출시하나2018.05.04
- AI스피커 소유자, 음성비서 하루 3번 이용2018.05.04
- 융합의 새로운 전쟁터...AI 스피커 列國志2018.05.04
- AI 스피커 "아직도 넌 내가 비서로 보이니?"2018.05.04
3. 야간이나 외출시 등 음성 비서를 쓰지 않을 때는 마이크 음성입력 기능을 꺼라. 비밀번호나 신용카드 정보도 담아둬서는 안된다.
4. 암호 없이 열린 와이파이에 AI 스피커를 연결하면 안된다. IoT 기기만 접속할 수 있는 와이파이 네트워크를 따로 만드는 것이 좋다.