|
아마존의 인공지능(AI) 스피커 알렉사를 통해 해커가 중요한 정보를 가져갈 수 있다는 연구결과가 나왔다.
글로벌 보안 업체 체크포인트(Check Point)는 지난 13일 아마존 알렉사 모바일 앱에 있는 여러 개의 오류들로 인해 이런 일이 발생할 수 있으며, 이 문제에 대해 지난 6월 아마존 측에 전달했고, 아마존은 이를 접수하고 보안패치를 제공했다고 밝혔다.
공격자가 특수하게 조작한 아마존 서브도메인 페이지에 아마존 알렉사 사용자가 접속할 경우 기기 관련 개인정보가 유출될 수 있다.
체크포인트의 취약점 분석 전문가인 오데드 바누누(Oded Vanunu)는 알렉사와 연결되는 모바일 애플리케이션을 실험한 결과를 공개했다. 특정 스크립트를 사용해 SSL(네트워크상에서 데이터 혹은 신원에 대한 정보를 보호하기 위해 사용하는 암호화 방식)을 우회함으로써 모바일 앱과 알렉사 스피커 사이에 오가는 트래픽을 평문으로 열람하는 데 성공한 것이다.
이 결과에 따르면 알렉사 사용자를 속여 악성 링크를 클릭하도록 하면 사용자는 공격자가 이미 손을 써둔 서브도메인으로 연결되고 이후 공격자는 알렉사에 설치된 앱이 무엇인지 알 수 있고, 원격에서 사용자인 것처럼 접속해 추가 앱들을 설치할 수 있게 되고 사용자의 ‘음성 명령 히스토리’에 접근해 각종 민감 정보를 취득할 수 있게 된다. 바누누는 보고서를 통해 “실험을 통해 은행 정보, 사용자 이름, 전화번호까지 확보할 수 있었다”고 밝혔다.
연구팀은 알렉사를 비롯해 구글 홈(Google Home) 등과 같은 사물인터넷기기(IoT)는 기본적으로 보안에 취약해 공격자의 매력적인 타깃이 되고 있다고 설명했다.
