세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
음파를 활용한 멤스 가속도계 해킹 방법 나왔다
  |  입력 : 2017-03-17 10:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자율 기기의 핵심 요소인 멤스 가속도계, 음파로 조정 가능
해킹 자체 매우 어렵고 물리적 접근 필요해 실현 가능성은 낮아


[보안뉴스 문가용 기자] 미시건대학교의 전문가들은 최근 음파를 활용해 멤스 가속도계가 탑재된 기기를 해킹하는 데에 성공했다. 멤스 가속도계를 활용한 기기들로는 핏비트(Fitbit), 각종 스마트폰과 의료 기기, GPS 트래커 등이 있다.

▲ 음파는 무서워


이번 발견이 치명적인 이유는, 드론, 무인 자동차 등 최근 개발이 한창 진행 중인 자율 기기들에 멤스 가속도계가 필수 요소에 가깝기 때문이다. 하지만 다행히 이 해킹이 성공하려면 물리적으로 가까운 곳에 위치해 있어야 하며, 해킹을 실시하는 사람이 기계와 전자 공학에 능통해야 한다. 프로그래밍 기술 수준 또한 일반 해커들의 그것을 상회해야만 한다.

그러므로 “사실 실제 해킹이 발생할 확률은 낮은 편”이라고 미시건대학 측은 설명한다. “절망적인 상태라는 걸 알려주기 위해 이번 연구를 실시한 건 아닙니다.” 이번 연구에 참여한 팀 트리펠(Tim Trippel)의 설명처럼 말이다. “다만 소프트웨어 보안이라는 것, 음파와 기기들의 상호작용 등에 한 번쯤 생각해봐야 하는 시점이 아닌가, 하는 질문을 산업에 던진 것입니다. 음파를 조정만 할 수 있게 된다면, 자율 기기를 정말 ‘자율적으로’ 조정할 수 있게 되니까요.”

트리펠은 “2015년 USENIX 컨퍼런스에 처음 등장한 ‘어쿠스틱 블라스트(acoustic blast)’라는 개념이 있다”며, 이에 대해 “드론에는 ‘돌풍’으로 인식되는 공격 방법”이라고 간략하게 설명한다. 미시건대학의 연구진들은 이를 더 확장시켜 “지휘 통제 기능까지도 추가한 것”이라고 한다.

어쿠스틱 블라스트 혹은 어쿠스틱 해킹은 다음 유튜브 영상으로 조금 맛 볼 수 있다. “웹사이트에서 자동으로 재생되는 영상에 특정 음조를 입혔습니다. 그 음조를 통해 저희가 임의의 작동을 할 수 있다는 게 영상을 통해 드러나죠. 즉, 이메일 첨부파일, 트위터 링크 등을 사용자가 뭔가를 재생하게 되면, 그것만으로도 공격이 가능하게 된다는 겁니다.”

미시건의 연구원들은 이보다 한 발 더 나아가 핏비트 기기에도 공격을 가하는 데 성공했다. 기기가 매일 착용자의 건강 상태를 기록하는데, 이 기록에 접근한 것이다. “여기에다가 장난감 자동차에 대한 해킹도 진행해 저희 마음대로 핸들을 조정할 수 있었습니다. 멤스 가속도계가 워낙 다양한 곳에 사용되기 때문에 이 해킹법이 보편화된다면 만만치 않은 파장이 몰려올 겁니다.”

그러나 서둘러서 이에 대한 해결책을 개발할 필요는 없다. 급하게 패치를 진행해야 하는 것도 아니다. “아직은 연구 단계에서나 존재하는 취약점 및 해킹법입니다. 실제 상황에서 이런 해킹이 성립할 가능성은 거의 없다고 봐야 합니다.” 모바일 보안 업체인 룩아웃(Lookout)의 부회장이자 보안 전문가인 마이크 머레이(Mike Murray)의 설명이다. “게다가 멤스 가속도계에서 생성되는 정보는 아직 ‘리스크’로 이어지지 않습니다.”

트리펠은 “해킹이 절대 간단하지 않다”고 말을 덧붙였다. “그저 서버 요청을 물밀 듯이 내보내 마비시키는 것 정도의 지식으로는 할 수 없는 공격입니다. 센서 데이터와 신호의 알고리즘에 대한 지식이 반드시 필요하고, 공격하고자 하는 기기에 가까이 접근할 수도 있어야 합니다. 접근성과 난이도가 이 해킹을 ‘불가능하게’ 만들고 있습니다.”

하지만 이번에 진행된 해킹법 연구를 통해 보완이 필요한 칩 제조사들의 명단이 나오기도 했다. 아날로그 디바이스(Analog Devices), 보시(Bosch), 인벤센스(InvenSense), 무라타 매뉴팩처링(Murata Manufacturing), ST마이크로일렉트로닉스(STMicroelectronics)가 바로 그들이다. “물론 이들의 제품에 근본적인 문제가 있다는 건 아닙니다. 다만 센서 데이터를 무조건 신뢰하는 기본 구조에 대해서는 언젠가 조치가 필요하다는 겁니다. 기본적으로는 양질의 제품을 만들어 내는 제조사들임에는 틀림이 없습니다.”

미시건대학이 이번 연구를 통해 드러내고자 했던 건 “이제 막 시작되고 있는 자율 기기의 미래에 장애가 될 만한 부분을 미리미리 파악하는 데”에 의의를 둔 것이라고 한다. 즉, 쉽게 생각하기 힘든 사각지대를 짚어낸 것. “자율 기기의 핵심은 센서를 통한 데이터 수집입니다. 지금 드러난 이 문제가 심각해지는 날이 반드시 오긴 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#사물인터넷   #보안   #음파   #소리   


인공지능은 정보보안에 도움을 주게 될까요?
그렇다. 보안 인력 양성보다 인공지능 개발이 더 빠를 것이다.
그렇다. 보안 전문가가 더 ‘사람다운’ 일을 하게 해줄 것이다.
아니다. 기계가 할 수 있는 일은 한정적이다.
아니다. 오탐의 염려에서 벗어나기가 힘들 것으로 보인다.
처음에는 도움을 주는 듯 하지만 점차 사람의 일자리를 위협할 것이다.
나랑은 크게 상관없는 얘기다.
기타(댓글로)