top of page

PC주인도 못 알아보고 해커에 뚫린 엉성한 ‘MS AI비서’


주인을 알아보지 못하는 인공지능(AI) 비서 '코타나(이미지)'가 해커에게 PC 데이터를

고스란히 내줄 정도로 보안에 취약한 것으로 확인돼 사용자들의 주의가 요구된다. 17일 보안업체 맥아피에 따르면 마이크로소프트(MS) 운영체제(OS) 윈도10에 내장된 AI 비서 코타나에서

심각한 보안 취약점(CVE-2018-8140)이 발견됐다.

해커뿐 아니라 PC를 다룰 수 있는 누구나 이 취약점을 통해 윈도10이 설치된 PC를 잠금 해제하고 시스템에 접근할 수 있다. 사용자들은 코타나를 활용해 음성인식을 기반으로 검색과 앱 작동을 실행하고 이메일, 문자 등을 전송할 수 있다.

코타나는 사용자의 음성 명령을 수행할 뿐 아니라 실제 비서와 같이 일정을 관리하고 알림 기능도 제공한다. 일반적으로 사용자들이 외부에서 PC나 노트북을 사용하다 자리를 비울 시 잠금모드로 전환하게 된다.

이번에 발견된 취약점은 PC 잠금화면 상태에서 잠금해제를 하지 않아도 코타나를 호출할 수 있다는 점을 악용한 것.

맥아피의 보안 연구원인 세드릭 코친은 회사 공식 홈페이지를 통해 코타나를 통한 시스템 접근법을 설명했다. 우선 PC 잠금화면에서 '비행기 모드'로 와이파이를 끈 뒤 "헤이 코타나"하고 코타나를 호출한다.

이어 날씨정보 등 기본적인 질문을 하면 인터넷과 연결이 안 된 코타나는 답변을 제시할 수 없어 검색 탭을 띄어준다.

이 상태에서 윈도 관리가 가능한 스크립트 언어 기반 인터페이스인 '파워셸'이 설치된 USB를 PC에 연결한 뒤 명령어로 비밀번호를 초기화할 수 있다. 세드릭 코친은 "이 취약점을 이용해 해커들은 단 몇 초 만에 비밀번호를 교체하고 시스템에 대한 모든 권한을 획득하게 된다"며

"코타나가 활용되는 윈도10에 설치된 PC에 물리적으로만 접근할 수만 있다면 누구나 쉽게 해킹이 가능해 위험하다"고 설명했다. 이에 MS는 이 취약점을 '중요' 등급으로 분류하고 지난 13일부터 보안 업데이트 패치를 제공하고 있다.

그러나 사용자 다수가 윈도10 업데이트를 수동으로 설정하고 있어 맥아피는 해당 보안 패치를 서두를 것을 권장한다. 특히 코타나는 아직 한국어가 지원되지 않는 만큼 사용성이 떨어지고,

이와 유사한 또 다른 취약점이 존재할 수 있기 때문에 아예 코타나를 설정에서 끄는 것도 한 방법이다. 한편 시장조사업체 넷애플리케이션에 따르면 지난 3월 기준으로 PC OS 시장에서 윈도10 점유율은 33.3%에 달했다. 보안업계 한 관계자는 "보안취약점은 특정 제품이나 서비스의 사용자 수와 비례해 발생하는 측면이 있다"면서

"이에 대응해 기업들도 보안업체를 인수하거나 협업하는 방식으로 보안강화에 힘쓰지만 수시로 발견되는

취약점에 대해서는 사용자들이 최대한 신속하게 패치 프로그램을 설치하는 게 최선의 방법"이라고 말했다.


bottom of page