$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] AI 스피커의 보안성 평가 및 대응방안 연구
Study on the AI Speaker Security Evaluations and Countermeasure 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.28 no.6, 2018년, pp.1523 - 1537  

이지섭 (고려대학교 정보보호대학원) ,  강수영 (고려대학교 정보보호대학원) ,  김승주 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

AI 스피커는 간단한 동작으로 음악재생, 온라인 검색 등 사용자에게 유용한 기능을 제공하고 있으며, 이에 따라 AI 스피커 시장은 현재 매우 빠른 속도로 성장하고 있다. 그러나 AI 스피커는 항시 사용자의 음성을 대기하고 있어 보안 위협에 노출될 경우 도청, 개인정보 노출 등 심각한 문제가 발생할 수 있다. 이에 모든 AI 스피커의 전반적으로 향상된 보안을 제공하기 위해 발생 가능한 보안 위협을 식별하고 체계적인 취약점 점검을 위한 방안이 필요하다. 본 논문에서는 점유율이 높은 제품 4개를 선정하여 보안위협모델링을 수행하였다. Data Flow Diagram, STRIDE, LINDDUN 위협모델링을 통해 체계적이고 객관적인 취약점 점검을 위한 체크리스트를 도출하였으며, 이후 체크리스트를 이용하여 실제 기기에 대한 취약점 점검을 진행하였다. 마지막으로 취약점 점검 결과 및 각 제품에 대한 취약점 비교 분석을 통해 AI 스피커의 보안성을 향상시킬 수 있는 방안을 제안하였다.

Abstract AI-Helper 아이콘AI-Helper

The AI speaker is a simple operation that provides users with useful functions such as music playback, online search, and so the AI speaker market is growing at a very fast pace. However, AI speakers always wait for the user's voice, which can cause serious problems such as eavesdropping and persona...

주제어

#AI Speaker   #Threat Modeling   #STRIDE   #LINDDUN  

표/그림 (20)

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

제안 방법

  • STRIDE, LINDDUN 위협모델링을 적용하여 도출한 위협목록에서 실제 취약점이 발생할 수 있는 공격 벡터를 크게 애플리케이션, 네트워크, 하드웨어, 시스템 4가지 영역으로 구분하였다. 또한 체크리스트의 완전성 입증을 위해 각 위협모델에서 식별한 위협 목록을 각 체크리스트의 항목과 연관 지어 표현하였으며, 그 결과는 Table.
  • 본 논문에서는 STRIDE, LINDDUN 위협모델링을 적용하여 취약점 및 개인정보보호 관점으로 AI 스피커의 보안성 평가 기준을 도출하고, 이를 활용하여 실제 기기에 대한 보안성 평가를 수행하였다. 그 결과, 선정한 AI 스피커에서는 사용자의 개인 정보, 무선 업데이트 중인 펌웨어, 음성 파일 등이 노출되는 문제가 존재하였다.
  • 3장에서는 체계적인 절차에 따른 위협모델링을 통해 모든 AI 스피커에 적용 가능한 체크리스트를 도출하였다. 이 장에서는 3장에서 도출한 체크리스트를 이용하여 세계적으로 점유율이 높은 A사, B사와 국내에서 점유율이 높은 C사, D사의 AI 스피커를 대상으로 보안성 평가를 진행하였다. 이후 각 제조사별 취약한 부분을 비교·분석하고 모든 AI 스피커에 대한 전반적인 보안위협을 제기하였다.
  • 이에 본 논문에서는 AI 스피커에 적합한 보안위협모델을 선정하고, 이를 통해 체계적이고 객관적인 취약점 점검을 위한 체크리스트[6]를 도출한다. 이후 체크리스트를 이용하여 실제 기기에 대한 취약점 점검 및 사례 연구를 통해 AI 스피커의 보안성을 향상시킬 수 있는 방안을 제안한다.
  • 하지만 분석가의 지식 범위 내에서만 연구되고 있다는 한계점이 존재한다. 이에 본 논문에서는 한계점 보완을 위해 위협모델링을 활용 하여 AI 스피커의 보안 위협을 체계적으로 식별·분석 하고, 이에 대한 대응방안을 제시하였다.
  • 이에 본 연구에서는 STRIDE, LINDDUN 위협 모델로 식별한 위협을 참고하여 AI 스피커를 분석하고, 그에 대한 대응방안을 제안할 것이므로 완화 전략 과정은 생략하기로 한다.
  • 이 장에서는 3장에서 도출한 체크리스트를 이용하여 세계적으로 점유율이 높은 A사, B사와 국내에서 점유율이 높은 C사, D사의 AI 스피커를 대상으로 보안성 평가를 진행하였다. 이후 각 제조사별 취약한 부분을 비교·분석하고 모든 AI 스피커에 대한 전반적인 보안위협을 제기하였다.

대상 데이터

  • 이후 체크리스트를 이용하여 실제 기기에 대한 취약점 점검 및 사례 연구를 통해 AI 스피커의 보안성을 향상시킬 수 있는 방안을 제안한다. 분석 대상은 타 모델에 비해 상대적으로 기기 보안에 대한 기대치가 높고 향후에도 다양한 사람들이 선택할 것으로 판단되는 국내·외 점유율이 높은 모델로 선정하였다.

데이터처리

  • 그러나 본 연구 결과는 실제 제품 개발과 관련한 이해관계자들의 참여가 제한되어 있으며, 알려진 취약점 및 공개된 자료를 기반으로 위협을 식별 및 분석하였다. 그러므로 AI 스피커 개발과 관련된 이해관계자들이 참여하여 잠재적인 취약점까지 고려하도록 보안성 평가 기준을 도출하는 것이 향후 과제로 남아있다.
  • 11과 같다. 이 중 A1, A2 항목은 애플리케이션 내 기능을 사용하여 점검하였으며, A3, A4, A7는 데이터 스니핑, MITM(Man In The Middle)[22]을 활용, A5, A6은 애플리케이션 코드의 정적 분석을 통해 점검 하였다.

이론/모형

  • 본 논문에서는 취약점, 개인정보보호 관점에서 위협을 식별하기 위해 STRIDE와 LINDDUN을 적용하였다. 우선 AI 스피커의 전반적인 구조를 파악하기 위해 DFD(Data Flow Diagram)를 활용하였다.
  • 본 논문에서는 취약점, 개인정보보호 관점에서 위협을 식별하기 위해 STRIDE와 LINDDUN을 적용하였다. 우선 AI 스피커의 전반적인 구조를 파악하기 위해 DFD(Data Flow Diagram)를 활용하였다. DFD는 분석 대상의 외부 객체, 프로세스, 데이터 저장소, 데이터 흐름에 대한 시각화를 통해 데이터 흐름을 보여주기 때문에, 정확하게 작성되었을 경우 분석 대상의 공격 지점 및 방법의 식별이 용이하다.
  • 분석 대상에 대한 모든 보안위협을 체계화하기 위해 어택트리를 작성한다. 이를 위해 STRIDE를 적용하여 식별한 보안위협 및 분석 대상에 대한 세부 위협 목록인 어택 라이브러리를 활용하였다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
보안위협에 대한 완화방안을 마련하기 위해 어떠한 연구가 진행되고 있는가? 이러한 보안위협에 대한 완화방안을 마련하기 위해 다양한 연구가 진행되었다. 2016년에는 사람이 인식할 수 없는 음성을 이용한 공격[3]을 통해 스피커 제어가 가능함을 보였고, 2017년에는 악성 애플리케이션 제작을 통한 도청[4], 2018년에는 플래시 메모리 덤프를 통한 원격 제어 공격[5] 등이 연구되었다. 이 외에도 여러 연구가 진행되었으나, 현재까지의 연구 실태를 보았을 때, AI 스피커에 대한 보안 연구는 분석가의 경험적인 노하우에 의존하고 있는 상황이다.
보안위협에 대한 완화방안을 마련하기 위한 연구는 어떠한 한계점이 있는가? 2016년에는 사람이 인식할 수 없는 음성을 이용한 공격[3]을 통해 스피커 제어가 가능함을 보였고, 2017년에는 악성 애플리케이션 제작을 통한 도청[4], 2018년에는 플래시 메모리 덤프를 통한 원격 제어 공격[5] 등이 연구되었다. 이 외에도 여러 연구가 진행되었으나, 현재까지의 연구 실태를 보았을 때, AI 스피커에 대한 보안 연구는 분석가의 경험적인 노하우에 의존하고 있는 상황이다. 따라서 AI 스피커의 전반적인 보안성을 제공하기 위해, 발생 가능한 모든 보안 위협을 식별하고 체계적인 취약점 점검을 위한 방안이 필요하다.
AI 스피커는 어떤 기능을 수행하는가? AI 스피커는 음성인식 AI 플랫폼으로, 사용자가 음성 명령을 전달하면 인공지능이 그 음성을 이해하 여 음악 재생, 알람 설정, 인터넷 검색 등 특정 기능을 수행한다. 이렇듯 간단한 동작으로 사용자에게 유용한 기능을 제공하고 있으며, 이에 따라 AI 스피커 시장은 현재 매우 빠른 속도로 성장하고 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (25)

  1. S&P Global Market Intelligence, https://www.spglobal.com/marketintelligence/en/news-insights/research/smart-speakers-take-off, Sep. 2018 

  2. CNBC, https://www.cnbc.com/2018/05/24/amazon-echo-recorded-conversation-sent-to-random-person-report.html 

  3. Nicholas Carlini, Pratyush Mishra, Tavish Vaidya, Yuankai Zhang, Micah Sherr, Clay Shields, David Wagner and Wenchao Zhou, "Hidden Voice Commands", 25th USENIX Security Symposium, 2016 

  4. The Hacker News, https://thehackernews.com/2018/04/amazon-alexa-hacking-skill.html, Aug. 2018 

  5. Tencent Blade Team, "Breaking Smart Speaker - We are Listening to you", DEFCON26, 2018 

  6. Chun Yu Cheung, "Threat Modeling Techniques", Delft University of Technology, the Netherlands, 2016 

  7. Adam Shostack, "Threat Modeling", WILEY, pp. 109-160, 2014 

  8. Microsoft, https://docs.microsoft.com/ko-kr/azure/security/azure-securitythreat-modeling-tool-threats, Aug. 2018 

  9. Eddington, Michael, Brenda Larcom, and Eleanor Saitta, "Trike v.1 Methodology Document", Octotrike, Jul. 2012 

  10. DistriNet, https://linddun.org/linddun.php, Aug. 2018 

  11. "Process for Attack Simulation and Threat Analysis", InfosecurityEurope, 2014 

  12. Hyunji Chung, Michaela lorga, Jeffrey Voas and Sangjin Lee, "Alexa, Can I Trust You?", IEEE Computer, pp.100-104, 2017 

  13. Ike Clinton, Lance Cook and Dr. Shankar Banik, "A Survey of Various Methods for Analyzing the Amazon Echo", The Citadel, The Military College of South Carolina, 2016 

  14. Jonas Zaddach and Andrei Costin, "Embedded Devices Security and Firmware Reverse Engineering", BlackHat, 2013 

  15. Armis Lab, "Exploiting BlueBorne in Linux-based IoT devices", pp. 22-30, 2017 

  16. NIST, https://nvd.nist.gov/vuln/detail/CVE-2018-9070, Aug. 2018 

  17. Guoming Zhang, Chen Yan and Xiaoyu Ji, "DolphinAttack:Inaudible Voice Commands", ACM SIGSAC Conference on Computer and Communications Security, pp.103-117, 2017 

  18. William Haack, Madeleine Severance, Michael Wallace and Jeremy Wohlwend, "Security Analysis of the Amazon Echo", MIT University, 2017 

  19. Mary Bispham, "Security Vulnerabilities in Speech Recognition Systems", OXFORD University, 2016 

  20. Medium, https://medium.com/@micaksica/exploring-the-amazon-echo-dot-part-1-intercepting-firmware-updates-c7e0f9408b59, Aug. 2018 

  21. Microsoft, https://docs.microsoft.com/en-us/previous-versions/msp-n-p/ff648644(vpandp.10), Sep. 2018 

  22. Blackhat, https://www.blackhat.com/presentations/bh-europe-03/bh-europe-03-valleri.pdf, Jul. 2018 

  23. OWASP, https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning, Oct. 2018 

  24. Mahesh Bhor and Dr. Deepak Karia, "Certificate pinning for Android Applications", International Conference on Inventive Systems and Control, Oct. 2017 

  25. IETF Tools, https://tools.ietf.org/html/dra ft-ietf-httpbis-expect-ct-02, Oct. 2018 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로