돌고래처럼...초음파로 아이폰 '시리' 해킹한다?

“시리야, 길동이에게 문자 보내 줘.”

음성인식이 스마트 기기와 대화하는 새로운 입력 수단으로 주목받고 있습니다. 키보드와 마우스로 자료를 입력하거나 스크린을 손가락으로 터치할 필요 없이 말로 명령을 내리는 것이죠.

아마존 제공

아이폰의 시리, 갤럭시의 빅스비 등 인공지능 음성인식 비서들이 스마트폰에 들어와 있습니다. 아마존의 음성인식 가상비서가 들어 있는 가정용 스피커인 에코는 2014년 출시 이후 누적 판매량 1100만 대를 넘어서며 아마존 최고의 히트 제품이 됐습니다. 구글도 비슷한 제품인 '구글 홈'을 내놓았고, 국내에서도 SK텔레콤과 KT, 네이버와 카카오 등이 잇달아 음성인식 스피커를 선보이고 있습니다.

이들 제품은 대개 미리 정해진 이름을 부르면 깨어나서 사용자의 요청에 반응하는 형태로 동작합니다. '알렉사~' 'OK, 구글' 이런 식으로요.

bgr 제공

그런데 중국 제장(절강)대 연구팀이 사람 귀에 들리지 않는 20㎑ 안팎의 초음파를 이용해 해커가 사용자 몰래 이들 음성인식 기기에 명령을 내릴 수 있음을 밝혔습니다. 음성 명령을 초음파 주파수로 '번역'해 기기에 자신이 원하는 일을 시킬 수 있는 것이죠.

다른 사람의 스마트폰이 특정 전화번호로 전화를 걸게 하거나, 컴퓨터나 태블릿이 말웨어가 있는 웹사이트를 열게 할 수도 있습니다. 아우디 차량 내비게이션의 목적지도 바꿀 수 있었다고 하네요. 이들은 이같은 '돌고래 공격'에 관한 내용을 담은 논문을 컴퓨터 보안에 관한 ACM 컨퍼런스에 제출했습니다.

이들 기기의 마이크가 음성뿐 아니라 고주파 대역까지 모두 인식할 수 있기 때문에 가능한 일입니다. 시리를 사용하는 아이폰과 맥, 갤럭시 폰, 아마존 에코 등이 모두 영향을 받습니다.

작은 스피커와 앰프를 포함한 3달러짜리 액세서리를 붙인 스마트폰과 약간의 IT 지식만 있으면 초음파 해킹을 할 수 있다고 합니다. 

미국 매체 패스트컴퍼니디자인은 이를 소비자에 대한 일종의 배신이라고 평가한 전문가의 의견을 전했습니다. 사람들은 이들 기기가 귀에 들리는 음성으로 작동된다고 생각할 뿐, 자신들이 들을 수도, 알 수도, 통제할 수도 없는 외부의 소리에 영향을 받을 수 있다고는 생각하지 못 한다는 겁니다.

우리가 보통 쓰는 마이크는 공기의 진동을 전기 신호로 바꾸는 방식이라 초음파만 골라서 차단하기란 어렵다고 합니다. 그럼 제조사에서 소프트웨어적으로 막아주면 되지 않을까요? 사람이 들을 수 없는 영역의 소리로 입력이 들어오면 수상한 공격으로 간주하고 차단하면 되니까요.

이 간단한 걸 왜 안 할까요? 패스트컴퍼니디자인은 2가지 이유를 추측합니다. 우선 고주파 영역의 초음파까지 분석해야 사용자의 목소리를 더 잘 알아들을 수 있으리라는 겁니다. 또 하나는 이들 회사들의 기기가 이미 초음파를 활용하고 있다는 겁니다. 이를테면, 구글의 크롬캐스트가 초음파로 스마트폰이나 TV 같은 다른 기기와 통신한다는 거죠.

사용자의 목소리를 더 잘 알아듣고, 기기들이 서로 정보를 주고 받으면 사용자는 당연히 더욱 편리해집니다. 하지만 그 편리함 때문에 또다른 헛점이 생기는 것도 사실입니다.

편리함과 보안, 여러분은 어떤 쪽을 선택하시겠습니까?