애플 시리, 아마존 알렉사, 마이크로소프트 코타나, 삼성 S보이스… 등등 가상 음성 비서와 이 기능을 탑재한 맥북, 스마트폰, 태블릿, 인공지능 스피커, 내비게이션 등 음성 인식 기능을 사용하는 대부분의 기기에 악용할 수 있는 초보적이지만 치명적인 결함을 중국 즈장(Zheijiang)대 연구팀이 발견했다고 엔가젯이 6일(현지시각) 전했다.

돌핀어택(DolphinAttack)이라고 명명된 이 취약점은 너무나 간단하다. 이미 이름에 힌트가 있다. 인간의 가청 영역을 벗어난 20,000hz 이상의 초음파를 사용하는 방법이다. 즈장대 연구팀은 인간의 음성 명령을 초음파 대역으로 바꿨고 스마트폰에 앰프와 스피커를 연결하고 이 파일을 틀었을 뿐이다. 여기에 사용된 장비는 3달러(약 3,500원) 정도에 불과하다.

초음파로 변환한 시리야, OK구글 등의 명령어로 음성 비서를 불러낼 수 있었고 전화 걸기, 웹 페이지 열기, 에어플레인 모드 등등 다양한 명령어를 실행할 수 있는 것을 확인했다. 아마존 에코는 백도어를 열라는 명령에도 반응했다. 아우디 자동차에 내장된 내비게이션을 조작해 목적지를 바꿀 수도 있다. 인공지능 스피커로 엉뚱한 제품을 주문할 수도 있고 악성코드가 배포되는 웹 사이트를 스마트폰에서 열수 있다. 악용하려 마음먹는다면 얼마든지 가능한 이야기다. 물론 마이크가 인식할 수 있는 충분히 가까운 거리에 있어야 하지만 충분히 출력을 높일 수 있다면 먼 거리에서도 가능하다.

이 취약점은 대부분의 가상 음성 비서, 음성 인식 기기에 해당되는 것으로 초음파 대역을 인식하도록 만들어 놓은 업체의 문제다. 물론 몇 가지 이유는 있다. 초음파 대역을 걸러낼 경우 음성 인식률이 저하될 수 있다고 한다. 일부 기기에서는 초음파 대역을 통신 수단으로 사용하고 있기도 하다. 그렇다고 해서 그냥 둘 문제는 아니다. 초음파 대역의 명령을 실행하지 않도록 펌웨어 업그레이드를 하거나 마이크에서 초음파 대역을 인식하지 못하도록 필터링이 필요하다. 등록된 사용자의 목소리를 인식하고 반응하는 기술도 필요하다.

[리뷰전문 유튜브 채널 더기어TV]