당신의 IT기기는 어디서든 해킹에 노출돼 있다
당신의 IT기기는 어디서든 해킹에 노출돼 있다
  • 박중하 기자
  • 승인 2020.03.05 11:50
  • 댓글 0
이 기사를 공유합니다

해커들의 활동은 신출귀몰하다고 익히 알려져 있지만 최근의 경향은 원격조정이 가능하도록 하는 대담함까지 보여주고 있다.
최근 가장 눈길을 끄는 소식은 '서핑 어택 (Surfing Attack)'이라고 불리는 것으로서 유해 코드 기반이 아닌 고주파수 음파를 이용한다는 점에서 더욱 주의를 요하고 있다.
한때 '돌핀 어택'으로 불렸던 고주파수의 음파를 이용한 해킹 공격이 최근 '서핑 어택'이라는 보다 확장된 공격능력을 지니게 되면서 IT관련 기기를 사용하는 사람들을 공포에 떨게 하고 있다.
한때 '돌핀 어택'으로 불렸던 고주파수의 음파를 이용한 해킹 공격이 최근 '서핑 어택'이라는 보다 확장된 공격능력을 지니게 되면서 IT관련 기기를 사용하는 사람들을 공포에 떨게 하고 있다.

요즘 주변에서 "시리야!", "빅스비!", "헤이 구글!", "헤이 클로바!" 등등 다양한 명령어를 읊는 소리를 듣는 건 낯설지 않은 풍경이다. 얼마 전까지만 해도 귀에 무선 이어폰을 꽂고 제스처를 쓰며 혼잣말을 하며 걸어가는 사람들을 보면 이상해 보이던 때도 있었지만 이제는 아무렇지도 않아 보이는 것과 매 한 가지다. 

그만큼 편한 것을 좇다 보니 손가락 꼼지락하는 것도 귀찮아져서 아예 말로 다 하는 시대가 됐다는 것이다. 덕분에 이젠 상당수의 IT 기기들, 특히 스마트폰에서의 음성인식 기술은 당연한 것으로 받아들여지는 상황이 됐고, 이런 것을 사용하지 않는 사람이 되레 시대에 뒤떨어진 것처럼 보이게 됐다면 과언일까? 

언젠가 영화를 보려니 주인공이 사용하는 랩탑 컴퓨터의 화상 카메라를 해커가 원격 조정해 이를 통해 감시하고 필요한 정보를 훔쳐가는 장면이 나오는 것이다. 실제로 이러한 위험을 방지하기 위해 적잖은 사람들이 랩탑 컴퓨터의 카메라에 불투명 테이프를 붙여두기도 하고 심지어 이 기능을 무력하게 하는 앱도 나와있는 실정이다.

물론 이런 해킹방식은 멜웨어라든가 바이러스 코드를 이용하는 것으로서 물리적으로 누군가 사용자의 컴퓨터에 접근해 이를 심어두는 것이었다. 물론 아무도 다가오지 못하게 하거나 위험한 링크를 클릭하지 않으면 그러한 낭패를 당하지 않을 것이라고 주장하는 사람들도 있다. 물론 틀린 말은 아니다. 위험함에서 멀리 떨어져 있다면 당연히 안전할테니까. 그런데 이 또한 전적으로 옳은 답이 아니라는 게 최근의 해킹관련 전문가들의 조언이다. 

오늘 소개하는 최신 해킹범죄의 일면은 다름아닌 소리를 이용한 것이라서 눈길을 끈다. 즉 악성코드를 심는 것도 아니고 누군가 다가와 물리적으로 기기를 원격조정하도록 하는 시도 등이 아닌 음파를 이용한다는 점에서 그 위험성은 대단히 높다고 보여진다. 

이른바 '서핑 어택(Surfing Attack)'이라고 명명된 해킹기법은 인간의 귀로는 들리지 않는 고주파수의 음파를 사용하여 IT기기의 디지털 보조장치를 활성화하고 이를 원격에서 조정할 수 있도록 한다는 것이 놀랍다. 물론 이러한 이론은 이전에도 더러 소개된 바 있지만 서핑 어택의 경우는 좀더 진보된 기법이다.

즉 데스크탑 컴퓨터나 테이블 위에 올려둔 랩탑 컴퓨터를 대상으로 하는데, 이것들이 놓여진 테이블에 특정한 장치 혹은 물질을 설치해둘 경우 여기서 발생하는 특정한 음파로 IT기기를 작동시키는 것은 물론이고 제어권을 빼앗을 수도 있다는 이론이다. 

실제로 관련 분야의 전문가들은 5천 원이면 구입할 수 있는 압전 변환기를 테이블 어딘가에 붙여두고 초음파를 전달할 경우 마이크가 설치된 컴퓨터의 음성 보조장치들의 대부분을 구동시킬 수 있으며, 이렇게 하면 전화를 걸거나 사진을 찍고, 심지어는 가장 안전하다고 평가받고 있는 2단계 인증 암호가 담긴 메시지마저 대신 읽도록 해서 완전히 기기 통제권을 탈취할 수도 있다고 주장하고 있다. 

그렇다면 이러한 해킹시도를 막을 방법은 없을까? 음파가 전도되기에 어렵게 테이블 위에 식탁보를 깔아두는 정도 외에는 뾰족한 방법이 없다는 것이 현실이다. 이것이 얼마나 지능적인 해킹방식이냐 하면 음파를 엿듣고 반응하는 직후에 기기에서 나오는 음성 신호의 불륨까지 낮춰서 사용자가 전혀 눈치채지 못하게 하는 명령어까지 포함하여 보내기 때문에 사용자로서는 도저히 알아챌 방법이 없기 때문이다. 

실제로 이러한 해킹시도에서 시리, 구글 어시스턴트, 빅스비 등 거의 모든 음성인식 기기들이 빼짐없이 해킹시도에 취약하다는 결과를 보여줬다는 것도 그 심각성이 드러나는 대목이다.

유사한 현상은 집안에 음성인식이 가능한 블루투스 스피커 장치들이 사용자가 말하지 않았는데도 불구하고 어디서 들었는지 모를 소리라든가 텔레비전의 소리에 반응해 원치 않은 검색결과를 읊어댄다든가 연결된 장치를 가동시키는 것을 종종 보게 되는 것도 마찬가지 현상이라고 할 수 있겠다. 나도 모르게 블루투스 기기가 쇼핑을 해서 상품이 배송되어 오고 결제까지 제 맘대로 한다고 상상해 보라 얼마나 그것이 끔찍할지를. 

현재까지 이러한 서핑 어택에 취약한 기기들이 어떤 것인지에 대한 보고서가 나오지는 않은 상태이고 일부의 결과로는 화웨이의 P9과 삼성 갤럭시 노트 10+ 정도가 안전하다는 보고가 있긴 하지만 이것 역시 안전하다고 볼 수는 없어 보인다. 그도 그럴 것이 이같은 음성기반의 해킹 범죄기법이 대부분의 IT기기에 쓰이고 있는 MEMS 마이크의 기본 개념을 활용하고 있기 때문에 해킹에 노출되는 정도는 지극히 심각하다고 볼 수 있다는 것이다. 

서핑 어택의 해킹기법이 가장 우려되는 곳은 앞서 언급했던 대로 테이블이 주대상이다. 즉 카페나 사무실의 책상과 같은 곳에 누군가 압전 변압기 혹은 이와 유사한 장치를 심어두게 된다면 무방비 상태가 되는 것은 시간문제라고 하지 않을 수 없다. 

결국 걱정된다면 아무 것도 하지 않는 게 답이라는 이야기일까? 문제는 그게 절대로 불가능한 세상에 이미 우리가 살고 있으며 더이상 피할 수 없다는 게 현실이기 때문이다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.