알렉사, 구글 어시스턴트 및 시리, 레이저 해킹 공격에 취약

연구자 그룹이 해커들이 특별히 제작된 레이저 빔을 마이크에 겨냥하여 음성 명령을 주입함으로써 스마트 홈 스피커를 해킹할 수 있는 보안 결함을 발견했습니다.

흥미로운 점은 동일한 취약점이 마이크를 포함한 모든 컴퓨터, 스마트폰 및 태블릿을 손상시키는 데 사용될 수 있다는 것입니다.

이 연구는 도쿄 전자통신대학교와 미시간 대학교의 연구자들에 의해 수행되었습니다. 이 취약점은 “빛 명령: 음성 제어 시스템에 대한 레이저 기반 오디오 주입 공격”이라는 제목의 새로운 논문에서 자세히 설명되었습니다.

‘빛 명령’으로 불리는 이 결함은 주로 레이저를 사용하여 스마트 스피커를 가짜 명령으로 조작합니다. 또한 스마트 스피커를 통해 연결된 스마트 잠금장치가 보호하는 현관문, 연결된 차고문, 온라인 쇼핑, 차량의 위치 파악 및 원격 시작 등 다른 시스템에 침입하는 데도 사용될 수 있습니다.

“빛 명령은 공격자가 Google 어시스턴트, 아마존 알렉사, 페이스북 포털, 애플 시리와 같은 음성 비서에 원거리에서 들리지 않고 보이지 않는 명령을 주입할 수 있게 해주는 MEMS 마이크로폰의 취약점입니다.”라고 연구자들은 썼습니다. “우리의 논문에서 우리는 이 효과를 입증하며, 여러 음성 제어 장치(스마트 스피커, 태블릿, 전화기 등)에 악성 명령을 주입하기 위해 빛을 성공적으로 사용하는 방법을 보여줍니다.”

가장 인기 있는 스마트 스피커와 스마트폰의 MEMS(미세 전자 기계 시스템) 마이크로폰은 레이저의 밝은 빛을 소리로 해석할 만큼 민감합니다.

연구자들은 레이저 빛을 집중시켜 360피트(110미터) 떨어진 곳에서 시리 및 다른 AI 비서들을 속일 수 있었고, 심지어 230피트(70미터) 떨어진 종탑에서 창문을 통해 빛을 비추어 한 건물의 장치를 제어할 수 있었습니다.

스마트 스피커 외에도 테스트된 다른 장치로는 아마존 에코, 애플 홈팟, 아이폰 XR, 구글 픽셀 2, 삼성 갤럭시 S9, 페이스북 포털 미니 등이 있습니다.

“마이크로폰은 소리를 전기 신호로 변환합니다. 빛 명령의 주요 발견은 소리 외에도 마이크로폰이 직접 겨냥된 빛에 반응한다는 것입니다.”라고 연구자들은 썼습니다.

“따라서 빛의 세기에서 전기 신호를 조절함으로써 공격자는 마이크로폰을 속여 진짜 오디오를 수신하는 것처럼 전기 신호를 생성하게 할 수 있습니다.”

이 연구를 알고 있는 구글은 “이 연구 논문을 면밀히 검토하고 있다”고 확인했습니다. 회사는 “사용자를 보호하는 것이 가장 중요하며, 우리는 항상 장치의 보안을 개선할 방법을 모색하고 있다”고 덧붙였습니다.

이 취약점은 확실히 경고를 주지만, 쉽게 악용할 수 있는 것은 아닙니다. 상당히 정교한 설정, 레이저 포인터, 레이저 드라이버, 사운드 앰프, 망원 렌즈 등이 필요합니다.

그러나 사용하지 않을 때 장치를 비활성화하고, 레이저 빔에서 장치를 보이지 않게 두며, 가능한 경우 PIN 및 기타 사용자 인증 요구 사항과 같은 보안 조치를 설정하는 등 이러한 공격을 피하기 위한 몇 가지 간단한 예방 조치를 취할 수 있습니다.