사람 귀엔 안 들리는 prompt injection, 음성 assistant의 새 공격면
Original: Inaudible sounds to humans can be hidden in YouTube videos, podcasts, or music and used to secretly trigger AI voice assistants into carrying out unauthorized commands without the user noticing, exposing a new class of “auditory prompt injection” attacks against popular tools View original →
텍스트 prompt injection은 이제 익숙한 위험이 됐지만, 음성 assistant가 늘어나면서 공격면은 소리 쪽으로도 이동한다. 이번 Reddit 글은 사람이 듣기 어려운 소리를 영상, 팟캐스트, 음악에 숨겨 AI 음성 assistant를 몰래 조작할 수 있다는 연구성 보도를 공유하며 관심을 모았다.
핵심은 “사용자가 명령을 말하지 않았는데 assistant가 명령으로 해석하는가”다. 영상 속 오디오나 배경음에 사람이 의식하지 못하는 패턴을 넣고, 마이크와 인식 모델을 거쳐 특정 행동을 유도할 수 있다면 음성 인터페이스의 보안 모델은 달라진다. 화면에 보이는 링크를 조심하는 것만으로는 부족해진다.
다만 댓글 분위기는 과장보다 검증 쪽에 가까웠다. 어떤 사용자는 평범하게 말해도 음성 명령이 자주 틀리는데, 보이지 않는 소리가 안정적으로 명령을 전달할 수 있느냐고 물었다. 다른 댓글은 마이크 주파수 대역, 스피커 성능, 스트리밍 압축 코덱을 통과해야 한다는 점을 들어 공격 성공률을 따졌다.
이 의심은 중요하다. 보안 위협은 가능성만으로 끝나지 않고, 실제 환경에서 반복 가능해야 제품 설계에 영향을 준다. 하지만 가능성이 작더라도 방어 방향은 비교적 분명하다. assistant는 들리는 음성과 기계가 인식한 명령 사이의 차이를 감지하고, 외부 미디어에서 들어온 명령에는 추가 확인을 요구해야 한다.
음성 AI는 편의성을 위해 마찰을 줄이는 방향으로 발전했다. 이번 논의는 그 마찰이 보안 경계였을 수 있음을 보여준다. 말로 조작하는 컴퓨터는, 누가 말했는지와 사용자가 들었는지를 함께 확인해야 한다.
Related Articles
공개 저장소 이슈에 숨긴 지시가 조직의 private repo 접근으로 이어질 수 있다는 실험이 HN에서 가장 뜨거운 쟁점이 됐다.
OpenAI가 2026년 2월 13일 ChatGPT용 Lockdown Mode와 Elevated Risk labels를 공개했다. web와 connected app을 쓰는 AI product에서 prompt injection 위험이 커지는 만큼, 고위험 사용자를 위한 강한 제어와 명확한 위험 표시를 추가한 조치다.
253 KB Windows DLL 백도어가 72개 보안 제품 중 1개에만 잡히던 상황에서 Microsoft의 Project Ire가 한 번의 decompiler 기반 분석으로 악성 판정을 냈다. 핵심은 IOC 매칭이 아니라 C2 패킷 구조, Run key 지속성, 명령 ID 같은 행동 증거였다.