News

왜 보안을 무시하니?

2017-09-07.

모두가 알아야 할 보안 이슈 3 가지.

 

1. 아직도 사람과 사진의 차이를 모르는 삼성폰

얼굴 인식 기술은 절대 보안을 보장하지 않는다. 이번에 새로 출시된 삼성 ‘갤럭시 노트 8’은 실제 인간과 사진의 차이를 구별하지 못해서, 사진만 보여 줘도 잠금 해제가 가능하다. 이 문제는 지난 봄에 공개된 갤럭시 S8 론칭 당시에도 뜨거운 이슈였다.

두 가지 걱정이 있다.

첫째, 얼굴 인식 기술 자체가 안전하다고 믿는 오해가 있다. 일반적으로 안전하다고 생각되는 공항이나 출입국사무소 등에서도 흔히 사용하는 기술이기 때문에 생긴 오해가 아닐까 싶다. 중요한 건, 그런 기관에서는 얼굴 인식을 기존 인증 방법 외 추가 인증 방법으로서 사용한다는 사실이다. 하지만 갤럭시의 얼굴 인식은 잠금 해제의 추가 인증이 아닌 단일 인증 방법이다.

지문 인식만큼 안전한 선택이 아니다. 얼굴 인식은 비밀번호 입력보다 빠르다는 것이 유일한 장점이다. 보안을 고려하고 개발된 기술이 아닌 듯하다.

둘째, 삼성은 얼굴 인식 기술의 보안성 문제를 아주 당당히 인정하면서도 그 기술에 대한 홍보는 또 아주 크게 하고 있다. 문제가 이미 발견되었음에도 노트 8을 론칭하는데 해당 기능의 보안성이 높아지지 않았다는 게 문제다. 보안에 대해 그다지 중요하게 생각하고 있지 않다는 느낌이다. 애플 아이폰 8의 얼굴 인식 기술 수준이 궁금해진다. 삼성처럼 사진으로 뚫리지 않는다면 대박 날 것 같다.

 

2. 돌고래 소리를 알아듣는 AI 비서들

Alexa and Siri are vulnerable to ‘silent,’ nefarious commands

아마존의 ‘알렉사’와 애플의 ‘시리’ 등 인공지능 스마트 비서의 기술에서 발견된 보안 문제점에 대한 연구가 발표되었다. 중국 저장 대학의 연구원들에 따르면, 해커는 초음파 기술을 이용해 스마트 비서에게 인간이 들을 수 없는 음성 명령을 내릴 수 있다. 연구원들은 이 방법을 통해 악성 웹사이트 접속, 다른 IoT 기기 악용 등이 가능했다고 한다.

이런 해킹 방법을 ‘돌고래공격(DolphinAttack)’이라고 부른다. 무서운 건 음성 인식 기술이 포함된 거의 모든 스마트 비서들이 이런 공격의 대상이 될 수 있다는 사실이다. 그나마 다행인 건 그 공격이 가까운 거리에서 비서가 활성화되어 있는 상태에서만 가능하다고 한다. 그리고 부정한 명령은 안 들리지만 그 명령에 응답하는 비서의 소리는 들리니까 알아차릴 수는 있다.

제조사와 개발자들이 미처 깨닫지 못했거나 무시했던 취약점이다. 음성 인식 범위를 초음파 영역으로까지 확대하면 해결되는 문제라니 그나마 다행이다.

IoT 시대에는 해킹 가능성을 무조건 줄여야 한다. 그리고 이번 연구를 통해 증명되었듯, 그 일을 단지 제조사에게만 맡겨선 안 된다.

 

3. 에너지 분야를 공격하는 해커 그룹

Dragonfly: Western energy sector targeted by sophisticated attack group

에너지 분야 운영을 방해할 위험성이 있는 해킹 활동이 미국과 유럽 지역에서 발견되었다고, 보안기업 시만텍이 주의보를 발표했다.

‘드래곤플라이’라는 해킹 조직은 밝혀진 바 최소 2011년부터 활동해 왔다. 정체가 노출된 이후 잠시 조용했지만, 2015년 말부터 활동을 재개했다.

이번엔 에너지 시설을 대상으로 해킹 도구와 전략을 개발하고 있다고 한다. 특히 운영 시스템에 접근할 능력을 목표하고 있고, 이미 어느 정도는 달성한 것 같다. 시만텍의 분석에 따르면, ‘드래곤플라이’는 에너지 시설 운영을 방해할 능력을 갖췄다고 한다.

주요 공격 대상은 미국, 스위스, 터키 등 국가의 에너지 관련 기관 및 시설이다. 공격 방법은 피싱 이메일, 백도어를 설치하는 트로이 목마 소프트웨어, 워터링홀 공격 등이다. 실제로 해킹 능력이 어느 정도나 되는지는 시만텍도 정확히는 알지 못한다고 한다.

어쨌든, 악의적 공격을 실행하고 성공할 가능성이 있다는 사실 자체가 무지 걱정스럽다. 에너지 분야에 손을 대면 그 피해는 결코 작지 않을 것이다.