라디오 전파로 애플 시리·구글 나우 속이는 해킹 수법 발견

라디오 전파를 통해 음성 명령 개인 비서를 작동시키는 실험 장면.(사진=ANSSI)

라디오 전파로 구글 나우, 애플 시리 원격 실행
스마트폰 이용자로 오인해 명령 실행
해커, 이를 악용해 이용자 스마트폰 마음대로 실행

[아시아경제 안하늘 기자] 라디오 전파를 이용해 애플 시리나 구글 나우 등 음성 기반 비서를 속여 개인 정보를 빼내는 해킹 수법이 드러났다.

14일(현지시간) 정보기술(IT)전문매체 BGR에 따르면, 프랑스 국립 IT 시스템 보안기관 ANSSI는 간단한 라디오 장비로 전자기파를 전송해 스마트폰 이용자 몰래 기기에 음성 명령을 내릴 수 있는 방법을 알아냈다.

구글과 애플은 사람의 목소리를 알아듣고, 인공지능(AI)기술을 이용해 명령을 수행하는 구글 나우와 애플 시리를 각각의 모바일기기에서 서비스하고 있다.

ANSSI에 따르면, 전자기파를 스마트폰에 전송하면 마치 이용자가 명령을 내리는 것처럼 구글 나우와 애플 시리를 속일 수 있다. 음성 기반의 개인 비서들은 이 전파를 이용자의 음성으로 오인하고 이들이 시키는 행동을 그대로 수행했다. 명령에 따라 특정 악성 코드를 다운로드 받고, 전화를 받거나 문자 내 특정 주소를 클릭하면 자동으로 결제가 이뤄지는 피싱 프로그램을 실행하는 등의 행동을 보여줬다.

소리가 들리지 않는 전파를 통해 이뤄지다 보니 이용자는 해킹 당하는 순간에 스마트폰을 보지 않는 한 아무것도 알아채지 못한다. 뭔가가 잘못됐다는 걸 알았을 때는 이미 피해가 일어난 이후다.

국제전기전자기술자협회(IEEE) 관계자는 이에 대해 "오디오 신호로 음성 명령이 가능한 기기를 속일 수 있는 가능성은 치명적인 보안 문제를 야기할 수 있다"고 밝혔다.

해킹을 하기 위해서는 아이폰이나 안드로이드 기기가 헤드폰 등에 연결이 돼 있어야 한다. 해커들은 헤드폰을 중간 매개체로 활용하기 때문이다. 헤드폰은 전자기파를 시리와 구글 나우에 음성 명령으로 바꿔주는 기능을 수행한다.

전자기파는 오픈소스 GNU 라디오 툴킷과, USRP 소프트웨어 기반 라디오, 앰프 그리고 신호를 전송하는 안테나만 있으면 만들 수 있다.

이들 모든 장치는 가방에 들어갈 정도이며, 이 정도 장치로는 2미터 내외까지 전파를 보낼 수 있다. 더 큰 안테나를 설치하면 전송 범위가 5미터 이상으로도 확대된다.

이에 해커가 특정 인물에게 악의를 품고 전파 전송 범위 내에 다가간 이후, 그가 스마트폰을 확인하지 않고 있다는 사실을 파악하고 해킹을 진행할 수도 있다.

해킹을 막기 위해서는 이용자가 시리나 구글 나우를 비활성화하는 방법밖에 없다.

안하늘 기자 ahn708@asiae.co.kr