check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

스마트폰에 패스워드 입력시 발생하는 소리 이용해 해킹 가능해

음파원리 이용한 'SonarSnoop'공격...스마트폰 해킹 가능 논문 발표돼

길민권 기자 mkgil@dailysecu.com 2018년 09월 27일 목요일

cyber-security-2765707_640.jpg
최근 랭커스터대학교 연구원은 아카이브(arXiv)에서 스마트폰 마이크와 스피커 시스템을 이용한 암호해독 정보 절취와 관련된 논문을 발표했다.

비록 단기간에 관련 공격으로 인한 위협을 우려할 필요는 없지만, 관련 기법을 이용한 보안결함이 존재한다는 사실이 증명된 것이다.

연구원에 따르면 관련 'SonarSnoop' 공격은 공격자의 암호해독 횟수를 70% 줄여주며, 사용자의 감지를 피해 해킹을 실행할 수 있다.

정보보안 영역에 'side-channel attack'라는 해킹수단이 존재한다. 해당 공격수단은 타깃 프로그램의 보안취약점이나 직접적인 타깃 정보가 필요하지 않다. 'SonarSnoop' 공격수단도 마찬가지로 타깃 스마트폰의 암호해독이 목표이지만 패스워드에 대한 강제크랙 또는 사용자 패스워드 정보를 획득하는 방식이 아닌 기타 패스워드 유출 초래가능성이 있는 보조정보를 이용한다. 즉 스마트폰에 패스워드 입력시 발생하는 소리를 이용하는 것이다.

결론적으로 'SonarSnoop' 공격은 마이크와 스피커가 연결된 모든 환경에 적용된다.

음향학 side-channel 공격은 이미 PC 및 각종 인터넷 연결장비를 통해 광범하게 이용되고 있다. 예를 들어 프린트 소리를 통해 어떤 내용인지 확인할 수 있다. 여러 상황에서 수동식 side-channel 공격에 속한다. 그러나 'SonarSnoop'는 사용자가 장비작동과정에서 발생하는 소리를 이용하기 때문에 성질이 확연히 다르다.

사용자가 특정 어플리케이션을 설치하면 공격은 이미 시작된 것이다. 만약 사용자가 감염된 어플리케이션을 다운받으면 스마트폰은 소리신호를 전파하며, 사람의 귀로 들을 수 없다. 또한 소리신호는 스마트폰 주변의 물체에 반사 및 메아리가 발생하며 스마트폰의 마이크는 메아리를 기록한다.

또한 음파 반사 및 메아리와 발음체 사이의 리턴 시차를 통해 물체가 지정된 공간의 위치 또는 물체의 이동상황을 확인할 수 있다. 이것이 음파의 원리이다. 마찬가지로 장비 마이크를 통해 녹음된 메아리를 분석하는 방법으로 사용자 손가락이 스마트폰에서의 이동경로를 추적할 수 있다.

랭커스터대학교 학생 팽 챙은 “비록 삼성 갤럭시 S4 2013년 제품으로 테스트했지만 아이폰에서도 충분히 가능하다고 생각한다”고 밝혔다.

또 랭커스터대학교 보안연구원 제프 얀은 “우리의 실험은 안드로이드 암호해독 정보 절취에서 마쳤지만 SonarSnoop 공격은 마이크와 스피커가 연결된 모든 환경에서 적용된다”고 말했다. [정보. 위협 인텔리전스 전문기업 씨엔시큐리티]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록