"시선까지 훔친다"…애플 비전프로, 보안 취약점 공개

악성코드 설치 없이 동공 움직임 분석만으로 메시지·비밀번호 탈취

컴퓨팅입력 :2024/09/16 09:19    수정: 2024/09/17 08:55

애플 비전 프로에서 사용자의 시선을 추적해 개인정보 등 민간한 데이터를 탈취할 수 있는 보안 취약점이 공개됐다.

16일 해커뉴스 등 외신에 따르면 보안기업 서티K와 플로리다 대학, 텍사스 공과 대학 연구팀은 'VR/MR 기기에서 아바타 뷰를 통한 시선 추정으로 원격 키 입력 추론 공격'이라는 보안 논문을 아카이브를 통해 공개했다.

논문에서 '게이즈플로잇(GAZEploit)'이라고 명명된 이 취약점은 지난 4월 애플에 공유됐으며 이후 7월 말 패치를 통해 차단됐다.

애플 비전프로 (사진=애플)

게이즈플로잇은 비전프로에 적용된 시선 추적 데이터를 원격으로 탈취하는 공격방법이다. 직접 비전 프로에 접근하는 것이 아니라 VR 환경에서 상대의 시선정보를 추론하는 독특한 방식이다.

즉, 그동안 비전프로를 착용하고 가상환경을 즐길 경우 동공의 움직임이 다른 사용자에게도 그대로 노출됐다는 것이다. 동공의 움직임을 분석해 메시지나 비밀번호를 예상하는 것이 가능하다.

논문에 따르면 메시지의 예측 정확도는 92.1%, 비밀번호는 77.0%를 기록했다. 이 밖에도 사이트와 이메일 주소, 핀코드도 예측할 수 있는 것으로 나타났다.

관련기사

비전 프로의 보안 취약점을 확인한 애플은 가상환경에서 시선 방향을 대략적으로만 제공해 바라보는 느낌은 제공하지만 구체적인 위치나 세부 정보는 제공하지 않는 방식으로 문제를 해결했다.

이번 논문을 발표한 연구팀은 “이번 취약점은 디바이스에 악성코드 설치를 위해 클릭이나 다운로드 등 특정 행동을 유도해야 했던 전통적인 공격 기법과 달리 일반적인 행동을 기반으로 한다는 점에서 더 새롭고 예측하기 어려운 위협을 제시한다”며 “이는 기업과 사용자 모두 고려해야 할 새로운 도전과제를 의미한다”고 설명했다.