지난 해 레이저 파동으로 스마트 스피커를 해킹할 수 있음을 보여주는 데모가 등장한 데 이어 이어 초음파를 이용해 스마트폰의 인공 지능 비서 기능을 활성화시키는 기술이 캘리포니아에서 개최되는 네트워크 및 분산 보안 심포지움에서 시연됐습니다.
서핑어택(SurfingAttack)로 불리는 이 공격은 사람의 귀에 들리지 않는 초음파로 스마트폰의 인공지능 비서를 활성화한 뒤 다양한 기능을 실행할 수 있습니다. 인공 지능 음성 비서의 기능이 확장되면서 사진을 촬영하거나 문자를 읽는 일을 음성으로 실행할 수 있기 때문에 이를 악용할 수도 있습니다.
실제 서핑어택 시연 연상에서 초음파 장치와 그리 멀지 않은 거리에 있는 스마트폰의 음성 비서가 활성화된 뒤 노트북에서 입력한 명령대로 전면 카메라를 반복적으로 실행하기도 하고 볼륨을 줄이고 문자 메시지를 읽기도 합니다. 또한 다른 사람에게 전화를 거는 것도 가능합니다.
서핑어택은 미시간 주립대학교, 네브래스카-링컨 대학교, 미국 세인트루이스 워싱턴 대학교 및 중국 과학원이 13가지 안드로이드 스마트폰과 4가지 아이폰 등 17개 스마트폰을 대상으로 실험한 결과 15개의 스마트폰에서 활성화됐다는 결과를 공개했습니다. 이 공격에 영향을 받지 않은 스마트폰은 삼성 갤럭시 노트10+와 메이트 9 뿐이었습니다.
서핑어택은 피해자의 스마트폰과 가까운 곳에서 신호를 보내야 활성화하는 단점이 있는데, 만약 테이블 아래에 이 같은 장치가 있다면 스마트폰의 신호를 도청해 여러 악용하는 사례를 만들 수도 있습니다. 스마트폰에 이에 대한 차단 기능이 탑재되기 전까지 이 피햬 사례를 막으려면 음성 비서 기능을 끄거나 또는 잠금 해제된 상황에서만 음성 비서가 작동하도록 설정을 바꾸는 것 뿐입니다.