세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
소노스와 보스 스피커 통해 ‘오디오 공격’ 가능하다
  |  입력 : 2017-12-28 10:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
알렉사 등 음성 명령 인식 가능한 기기에 명령 전달할 수도
소리 통한 ‘테러 행위’ 가능성 다분...실제 피해 사례 있어


[보안뉴스 문가용 기자] 음악을 좀 열심히 듣는 사람들 사이에서 ‘기본 아이템’이라고 하는 보스와 소노스 스피커가 집안이나 사무실 분위기를 묘하게 만들 수 있다는 연구 결과가 발표됐다. 보안 업체 트렌드 마이크로(Trend Micro)가 인터넷과 연결된 스피커 제품들을 분석해 취약점을 발견한 것이다.

[이미지 = iclickart]


취약점이 발견된 모델은 소노스 플레이:1(Sonos Play:1), 소노스 원(Sonos One), 보스 사운드터치(Bose SoundTouch) 등이다. 모두 ‘사물인터넷’으로 분류되는, 비교적 신규 모델들로 제조사와 사용자 모두 ‘보안’을 인지하고 있지 않기 때문에 공격이 성립될 수 있다고 트렌드 마이크로는 설명한다.

“인터넷을 통한 원격 공격이 가능합니다. 취약한 시스템은 NMap이나 쇼단과 같은 툴을 사용한 인터넷 스캐닝을 통해 찾을 수 있고요. 취약점을 익스플로잇 하면 아무 오디오 파일이나 재생시킬 수 있습니다. 물론 보스와 소노스 브랜드를 가진 스피커의 극히 일부만이 피해 가능성을 내포하고 있습니다만, 스피커를 통해 괴상한 소리들이 들리기 시작한다는 것은 충분히 위험할 수 있습니다.”

트렌드 마이크로가 직접 인터넷을 스캔했을 때 약 2000~5000개의 소노스 스피커를 찾아낼 수 있었다. 보스 기기의 경우 그 수는 400~500개였다. 모두 ‘온라인’ 상태에 있던 기기들이다. 또한 공격 가능성을 증명하기 위해 공포 영화에 나오는 효과음, 기분 나쁜 신음 소리, 릭 애슬리(Rick Astley)의 노래, 알렉사에게 전달하는 음성 명령을 재생하는 데에 성공했다고 한다.

별로 선호하지 않는 가수의 음악이 자꾸만 나오는 건 그렇다 쳐도 요즘 유행하고 있는 인공지능 스피커 등에 음성 명령까지 전달할 수 있게 된다면, 심각한 문제가 생길 수도 있다. “저희는 이번 연구를 진행하면서 알렉사의 음성 인식 기능이 탑재된 소노스 원 모델에 명령을 주입하여 인공지능이 스스로에게 음성 명령을 전달하고 그 명령을 실행하도록 만드는 데 성공했습니다.” 음성 명령 기능이 다른 사물인터넷 기기들에게도 영향을 끼치는 환경에서는 물리적 피해를 유발시킬 수도 있게 된다.

다행인 건 음성 명령 체계를 조작해 같은 네트워크 상에 있는 다른 사물인터넷 기기들까지 조작하는 공격은 매우 복잡해 실행하기가 쉽지 않다는 것이다. 그래서 트렌드 마이크로는 “실제 공격은 기괴한 소리나 욕설 등을 재생시키는 것 정도로 끝나고 있다”고 말한다. 즉, 이미 피해 사례가 존재한다는 것. “이미 예상치 못한 소리가 스피커를 통해 흘러나와 놀란 피해자들이 존재합니다.”

그렇다면 뭐가 문제인 걸까? “안타깝지만 이 스피커들을 만든 제조사는 ‘충분히 안전하고 신뢰할 만한 네트워크에 스피커 장비가 연결되어 사용될 것’을 전제하고 물건을 출시했습니다. ‘신뢰를 전제한다’는 것은 보안에서는 금기사항 중 하나죠. 아직 그러한 개념이 제조사들에까지 전파되지 않은 것입니다.” 트렌드 마이크로의 마크 누니코벤(Mark Nunnikhoven)은 설명한다.

신뢰가 전제되어 있기 때문에 제조사들은 “스피커와 같은 네트워크에 있는 모든 장비를 통해 API에 접근할 수 있도록 설정”해둔 것이다. API에 접근할 때 그 어떠한 인증 절차도 발동되지 않는다. 그 외에 스포티파이(Spotify)나 판도라(Pandora) 등 사물인터넷 스피커나 음악 활동과 관련 있는 앱에 등록된 사용자의 계정 정보를 훔쳐가는 것도 가능하다. 트렌드 마이크로가 실험했을 때 “소노스 소프트웨어 버전, 와이파이 네트워크 이름, IP 주소, 기기 ID 등도 찾아낼 수 있었다”고 한다.

트렌드 마이크로는 이러한 연구 결과를 소노스와 보스 측에 알렸다. 소노스는 업데이트를 발표해 공격 가능성을 줄이려 했다. 하지만 보스는 아직 연락이 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)