“띡 띡 띡 띡..” 도어락 비밀번호를 누르는 소리만 듣고 비밀번호를 맞추는 이야기는 영화에서나 상상해봤을 것이다. 하지만 이제는 영화속 이야기에 그치는 것이 아니다. 해커들이 피해자가 열쇠로 문을 여는 소리를 녹음하는 것만으로도 개인 열쇠를 복제하는 것이 가능해졌다.
매셔블에 따르면 올해 초 싱가포르 국립대학원 연구원이 해커가 스마트폰 마이크와 프로그램을 사용해 상대방의 열쇠를 복제하는 방법에 대한 논문을 발표했다. 해커가 스마트폰이나 스마트 워치, 스마트 초인종 등에 멀웨어를 심어서 원격으로 오디오를 녹음할 수 있다면, 물리적으로 먼 거리에서도 공격이 가능하다.
‘스파이키(SpiKey)’라고 불리는 공격에 사용되는 키는 열쇠가 잠금된 핀을 열 때 굴곡 위를 움직이며 내는 소리를 활용해 만들어진다.
논문에 따르면 피해자가 도어락에 열쇠를 꽂으면, 공격자는 스마트폰 마이크로 소리를 녹음한다.
도둑은 녹음된 파일에서 딸깍거리는 소리들 사이의 시간을 이용해 열쇠 홈 사이의 거리를 계산한다. 이 정보를 이용해 일련의 가능한 열쇠 후보를 계산하고 만들어낼 수 있다.
논문에 따르면 평균적으로 스파이키는 총 33만 424개의 경우의 수 중에서 사용자의 열쇠와 일치할 가능성이 높은 5.10개의 후보를 제공할 수 있다. 3개의 후보를 제공하는 경우가 가장 많았다.
즉, 이제는 도둑이 자물쇠를 여는 도구를 사용하지 않고, 미리 만들어놓은 열쇠 몇 개를 써보고 피해자의 문을 바로 열고 들어갈 수 있는 것이다.
물론 현실 세계에서는 몇 가지 한계가 있다. 먼저 공격자는 피해자가 사용하는 잠금장치의 종류를 알아야 한다. 하지만 이러한 정보는 자물쇠 외형을 확인하는 것만으로도 알 수 있다.
두 번째로 이 프로그램은 키를 자물쇠에 넣는 속도를 일정하다고 가정한다.
하지만 이러한 가정은 실제 세계에서 항상 유지되지 않기 때문에, 연구진은 여러 삽입에 걸쳐 정보를 결합할 수 있는 가능성을 탐구할 계획이라고 설명했다.
현재로선 열쇠를 자물쇠에 꽂을 때 주변에 아무도 없는지 살피는 간단한 방법으로 이러한 공격을 쉽게 예방할 수 있다.
하지만 피해자의 스마트폰이나 스마트워치에 악성 코드를 설치하거나, 마이크가 포함된 센서에서 클릭 소리를 수집해 신호 대 잡음 비율이 높은 녹음을 얻는 등 다른 방법으로 공격이 이뤄질 수도 있다. 의심을 줄이기 위해 장거리 마이크를 이용하거나, 사무실 복도에 마이크 1대를 설치하고 여러 문에 대한 녹음을 수집함으로써 스파이키의 확장성을 높일 수도 있다.
다시 말해 해커들은 벌써 이러한 공격을 더 쉽게 만들기 위한 방법을 찾고 있다. 그리고 소위 ‘스마트 락’이라고 불리는 것들도 자체적인 보안 문제가 있다. 아마존의 보안카메라인 ‘링 홈 카메라’는 항상 해킹을 당했다. 그리고 연구원의 추측에 따르면, 해커들은 그러한 카메라에 내장된 마이크를 사용해 열쇠가 만들어내는 소리를 포착한 다음, SpiKey 기술로 열쇠를 복제하는 것이 가능하다.
만약 해커가 개인의 링 홈 카메라에 접속했다면, 열쇠 소리를 듣고 복제하는 것보다 더 쉽게 열쇠를 복제할 수 있는 방법이 있다. 그렇다 하더라도 앞으로 문을 딸 때 작은 소리를 내는 것이 좋다. 주변에서 보기엔 이상해 보일 수는 있지만, 적어도 스파이키를 이용한 침입은 방지할 수 있을 것이다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
