스마트워치를 손목에 찬 사용자가 입력하는 암호를 알아내는 해킹 기법이 발표되었다. 이 공격을 이용하면 스마트폰, 태블릿, PC 키보드, 자동현급지급기, 금고나 문 키패드 등에 입력하는 암호를 알아낼 수 있다. 덴마크 코펜하겐 IT대학교 석사과정 소프트웨어 엔지니어 토니 벨트라멜리(Tony Beltramelli)가 논문과 시연 동영상을 통해 발표한 내용이다. 벨트라멜리는 웨어러블 기기에 내장된 모션 센서가 얼마나 위험한지 알리고, 고급 뉴럴네트워크가 공격에 사용될 수 있다는 걸 알리기 위해서 연구를 했다고 밝혔다.
이같은 연구는 처음이 아니다. 작년 9월 미국 일리노이스 대학교 연구원들은 삼성 기어라이브 스마트워치를 손목에 찬 사용자의 움직임을 분석해 사용자가 누른 키를 알아내는 스마트폰 앱을 개발한 바 있다. 이 앱은 모션 센서를 이용해 사용자가 타이핑 할 때 손목의 위치 좌표, 시간 간격 등의 데이터를 분석해 부호나 숫자, 점, 특수문자를 제외한 키보드 입력 내용을 알아냈다.
벨트라멜리의 이번 연구도 일리노이스 대학 연구의 연장선으로 보인다. 벨트라멜리는 현금자동지급기에 많이 사용되는 12개 키패드와 스마트폰 터치 스크린을 대상으로 테스트했다. 윈리는 스마트 워치를 팔목에 찬 사용자가 손을 움직일 때마다 변하는 좌표, 그리고 시간 간격, 순서 등을 스마트 워치의 자이로스코프와 액셀로메터가 계속적으로 추적하고 출력하도록 해서 이 데이터를 분석해 입력한 암호를 알아내는 것이다. 방대한 데이터로 인공 뉴럴네트워크를 훈련시키면 맞출 확률이 점점 높아진다.
그는 특수 제작한 소프트웨어로 팔목에 찬 소니 스마트워치3의 모션 데이터를 수집해 주변에 놓인 블루투스가 켜진 안드로이드폰(LG 넥서스4)으로 전송한 뒤 서버로 전송해 자바, 파이선, Lua 코드로 제작한 알고리즘을 사용해 사용자가 무엇을 입력했는지 분석했다. 스마트폰 잠금화면도 마찬가지로 입력 암호 패턴을 분석했다.
그 결과 암호를 최대 73%까지 맞출 수 있었다고 한다. 벨트라멜리는 정확도가 19%로 낮아도 상관 없다고 말했다. 다른 키패드로 테스트를 많이 해 많은 데이터로 학습 시키면 적중률이 높아지기 때문이라는 것. 그는 그가 제작한 앱과 서버용 코드를 깃허브에 공개했다.
벨트라멜리는 이 공격을 받지 않으려면 스마트워치를 평소 잘 사용하지 않는 손목에 찰 것을 권했다. 예를 들어 왼손잡이라면 오른손에, 오른손잡이는 왼손에 차면 공격을 덜 받는다고 전했다. 또한 웨어러블 기기에 앱을 설치할 때는 주의하고, 웨어러블은 반드시 신뢰하는 제조사에서 구매하고, “아무”한테서나 구입하지 말 것을 당부했다.
“아무”한테서나 구입해서는 안되는 이유는 뭘까? 작년 11월 아마존에서 40달러에 판매되는 저가 중국산 태블릿에 맬웨어가 선탑재되었다는 의혹이 제기된 바 있다. 또한 같은 달 미국 전국 경찰들이 사용하는 바디카메라가 Conficker 맬웨어에 감염된 사실이 드러나 선탑재된 상태로 출고되었다는 주장이 제기되기도 했다.
사물인터넷이 적용되는 기기가 증가하면서 보안 위협이 점점 커져가고 있다. HP는 시중에 판매되는 모든 스마트워치가 보안에 취약하다고 발표한 바 있다. HP가 작년 7.22일 ‘사물인터넷 보안 연구: 스마트워치‘ 라는 제목의 보고서에 의하면 HP는 시판되는 스마트워치를 대상으로 보안 테스트를 실시한 결과, 불충분한 인증, 약한 암호화, 클라우드 웹 인터페이스에 보안 미적용, 업데이트 전송 파일에 암호화 미적용, 개인 정보 및 심장 박동수 등의 의료 정보 수집 등 모든 스마트워치가 취약했다고 한다.
이번 연구는 비단 스마트워치만이 아니라, 새로운 트렌드가 이미 등장했음을 보여 준다. 과거 천재들의 전유물이었던 해킹에 범죄 집단, 이제는 과학과 수학, 인공지능까지 개입하는 추세다. 배터리 공격, 고주파 공격을 예로 들 수 있다. 배터리 공격은 스마트폰 배터리 잔여량으로 사용자 신원을 알아내는 공격으로 배터리 잔량과 완충되는 데 걸리는 시간을 알아내 이 두 숫자를 조합해 1400만개 이상의 패턴을 산출, 배터리 정보를 30초마다 업데이트해 사용자 신원을 알아내는 공격이다. 고주파 공격은 인간의 귀에는 들리지 않지만 사용자 주변의 스마트폰이나 태블릿의 기기는 인식하는 고주파 사운드가 웹페이지 특정 부분을 볼 때 울리도록 해서 주변 기기와 페어링해 쿠키 대신 사용자의 온라인 활동을 추적하는 공격을 말한다. 과학, 수학, 통계, 딥러닝 개입으로 보안은 앞으로 점점 더 치열한 전쟁이 될 것 같다.
참조 URL: 벨트라멜리 발표 논문(PDF)