싱가포르대학 연구원들이 개발한 ‘스파이키’ 공격 기술...녹음부터 3D 프린트까지
조금만 연구하면 실사용 가능한 기술...앞으로 자물쇠 열 때 나는 소리도 주의해야

[보안뉴스 문가용 기자] 보안 전문가들인 ‘자물쇠를 따는 행위’를 한 차원 높은 수준으로 이끌어내는 데 성공했다. 열쇠와 자물쇠가 마찰을 하며 내는 소리를 녹음하고 이 신호를 변환해 3D 프린터로 똑같은 열쇠를 만들어내는 것이다. 이 공격법을 개발한 전문가들은 이 기술에 스파이키(SpiKey)라는 이름을 붙였다.


[이미지 = utoimage]

스파이키 공격을 실시하기 위해 필요한 것은 스마트폰 등에서 쉽게 찾을 수 있는 기본 녹음 기술과, 소리 신호를 처리해주는 소프트웨어다. 이 소프트웨어를 통해 열쇠와 자물쇠가 만들어내는 ‘딸깍’ 소리들 사이의 시간차를 계산하고, 이를 통해 모양을 유추하는 게 가능하며, 이 데이터를 활용해 모델링을 한 후에는 3D 프린터로 키를 복제하는 게 가능해진다.

이 기술을 개발하고 구현에 성공한 건 싱가포르국립대학의 연구원들이다. 연구를 이끈 건 사운다랴 라메시(Soundarya Ramesh)라는 인물이다. 라메시는 보고서를 통해 스파이키 기술을 공개하며 “공격자들의 물리적 침투 행위의 난이도를 크게 떨어트리는 공격법”이라고 소개했다. 자세한 내용은 다음 보고서(https://www.comp.nus.edu.sg/~junhan/papers/SpiKey_HotMobile20_CamReady.pdf)를 통해 확인이 가능하다.

‘자물쇠 따기’는 매우 오래된 기술이긴 하지만, 정확히 실행하려면 고도의 훈련과 경험이 필요하고 특수한 장비도 필요하다. 난이도가 낮은 기술이라고 말하기 어렵다. 그러나 적절한 소프트웨어가 설치된 스마트폰만 있다면 열쇠를 순식간에 복제하는 게 가능하고, 그럼으로써 어떤 자물쇠도 열 수 있다는 게 연구원들의 설명이다.

공격은 다음과 같은 순서로 진행될 수 있다.
1) 표적이 되는 자물쇠에 물리적으로 접근한다.
2) 스마트폰의 마이크로폰을 사용해 열쇠가 자물쇠와 맞물려 내는 소리를 녹음한다.
3) 녹음된 소리를 통해 ‘짤깍거리는’ 소리의 시차를 계산한다.
4) 열쇠의 울퉁불퉁한 부분들이 어떻게 생겼는지를 이 시차를 통해 유추한다.
5) 소리의 크기나 음파를 통해 열쇠의 울퉁불퉁한 부분들이 어느 정도 깊이로 파여 있는지 유추한다.
6) 이 모든 정보를 가지고 모델링을 하고, 3D 프린터로 열쇠를 복제한다.

위 논문에는 각 절차가 어떤 방식과 기술로 시행되는지가 세세하게 기술되어 있다. 절차가 조금 더 복잡해지긴 하지만 열쇠의 일부가 부러졌거나, 다량의 핀으로 구성된 경우에도 스파이키 기법이 통한다는 연구원들은 설명한다. 심지어 열쇠를 삽입할 때 내는 소리의 스펙트로그램을 공유하기도 했다. 물론 이 스펙트로그램만으로 열쇠 복제가 불가능하다는 것을 알기 때문에 취한 조치이기도 하다.

확실히 이 논문만 읽고 스파이키 공격을 실시하는 건 어렵다. 열쇠가 자물쇠에 삽입되는 소리를 녹음해 유용한 결과물을 얻으려면 삽입 속도를 일정하게 유지해야 하고, 녹음된 소리를 분석할 수 있는 소프트웨어도 구해야 한다. 이 실험을 위해 사용한 소프트웨어는 싱가포르대학 연구원들이 직접 개발한 것으로, 일반인이 구하기 어렵다. 다만 비슷한 지식을 가진 자라면 개발할 수 있다.

연구원들은 “스파이키가 실제 상황에서 구현하는 게 가능한 공격”이고 “실제 실험을 했을 때 성공률이 결코 낮지 않았다”며 “앞으로 사람이 많은 곳에서 함부로 자물쇠를 열면 안 될 수도 있다”고 경고했다.

3줄 요약
1. 열쇠를 자물쇠에 삽입했을 때 나는 소리 녹음해 처리하면 열쇠 복제 가능.
2. 다만 삽입 속도가 일정해야 성공률 높아지고, 소리 처리 기술이 필요함.
3. 불가능한 공격 아니고, 앞으로 자물쇠 열 때 좀 더 조심해야 할 수도 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>