컴퓨터에서 정보를 빼내는 해킹 수법은 다양하다. 상당수는 통신을 가로채는 방법을 이용하는데 덕분에 통신을 차단하고 오프라인으로 작업하면 피해를 방지할 수 있었다. 그런데 기기 자체가 내는 소음을 분석해 정보가 유출될 위험성이 있다는 점이 지적되어 눈길을 끈다.
미국 조지아공대 연구팀에 따르면 PC나 스마트폰 같은 기기를 조작하거나 소프트웨어를 실행하게 되면 장치에 탑재한 하드웨어가 처리 과정에서 다양한 전자파나 소리 같은 잡음을 낸다는 것. 그런데 이 소음을 측정해 분석하면 정보를 훔쳐볼 수 있는 문제가 있다는 지적이다. 실제로 기기 소음을 측정해 정보를 분석하는 모습은 영상으로 확인할 수 있다.
이 문제에 대해 연구팀은 보통 해커가 정보를 빼내는 방법과는 전혀 다른 것이라면서도 정보를 빼낼 가능성이 충분하다는 점을 지적한다. 영상 속에서 분석용 PC 디스플레이에 표시된 파형은 PC 기판에서 발생한 전파를 분석한 것이다. 파형 옆쪽으로 차례로 텍스트가 나타난다. 이 문자는 컴퓨터에서 나온 잡음 파형을 분석한 결과를 해석한 것이다. 키보드 조작이 유출될 수 있다는 걸 확인한 것이다.
연구팀은 누구나 인터넷과 무선 통신 보안에는 공을 들이고 있지만 컴퓨터 본체 자체에서도 정보를 채갈 수 있다는 게 컴퓨터 보안의 함정이라고 말한다. 연구팀은 이런 문제를 해결하기 위해 SAVAT(Signal Available to Attacker), 공격자가 얻을 수 있는 신호라는 지표를 제시한다. 이를 통해 하드웨어의 신호 강도를 나타내는 지표로 삼고 제품을 개발할 때 수치 측정에 포함해 정보 유출 위험을 사전에 방지하는 데 도움을 주려는 것이다.
연구팀이 주목하는 것 가운데 하나는 스마트폰에서 발생하는 정보다. PC와 달리 스마트폰은 작동할 때와 대기모드 상태에서의 변화가 크다. 덕분에 정보를 뽑아내기도 훨씬 쉽다는 것. 연구팀은 지금은 안드로이드 기기만을 대상으로 검증을 한 상태라고 한다. 만일 이런 방법을 이용한다면 카페나 도서관 등 외부에서도 손쉽게 정보를 빼갈 수도 있다는 것이다. 또 공격이라고 해봐야 단순히 신호만 수신하는 것이기 때문에 피해자가 자신의 피해를 전혀 깨닫지 못하는 것도 문제다.
물론 실제로 이런 기술이 악용됐다는 흔적은 지금까지는 발견되지 않았다고 한다. 하지만 비교적 간단한 장치로도 실행 가능한 것인 만큼 실제로 피해가 발생할 위험은 높다는 설명. 하드웨어로 인한 취약점 탓에 실제로 뭔가 조치를 취하려고 해도 제한적일 수밖에 없다. 결국 공공장소 같은 곳에서 PC나 스마트폰으로 중요한 정보를 다룬다면 주위에 낯선 장치가 없는지 확인해보는 게 좋다고 말한다.
전자신문인터넷 테크홀릭팀
이석원기자 techholic@etnews.com