보안

“키보드 타이핑 소리로 비밀번호 훔친다··· 정확도 95%” 영국 대학 연구진 

Michael Crider | PCWorld 2023.08.09
키보드의 딸각거리는 소리는 (적어도) 기계식 키보드 팬들의 즐거움 중 하나다. 하지만 가족이나 동료의 매서운 눈초리가 두렵지 않다고 해도, 이런 입장을 재고할 필요가 있다. 영국의 한 보안 연구팀이 웹 화상회의 앱(예: 줌 등)을 통해 사용자의 키보드 입력 소리를 듣고, 입력한 내용을 정확하게 기록할 수 있는 시스템을 개발했다. 
 
ⓒMichael Crider/IDG

물론 이 시스템은 ‘실제’ 위협이 아니라 개념 증명에 가깝다. 보안 관리자가 잠재적인 위험을 인지할 수 있도록 진행된 연구다. 

영국의 더럼 대학교, 서리 대학교, 런던 로열 할러웨이 대학교(PDF 링크)의 연구진은 2단계 프로세스를 개발했다. 우선 표적 맬웨어가 설치된 스마트폰같이 손상된 벡터를 통해 특정 키보드의 키 입력을 녹음했다. 그다음 해당 녹음을 사용해 키보드의 개별 키가 내는 소리의 청각적 차이를 결정하는 알고리즘을 학습시켰다. 

연구진에 따르면 이 데이터를 분석 프로그램에 넣으면 최대 95%의 정확도로 입력되는 내용을 들을 수 있다. 스마트폰으로 녹음한 결과, 줌과 스카이프를 통해 녹음된 내용은 각각 93%와 91.7%의 정확도를 보였다. 

이번 테스트에서 연구진은 맥북 프로와 아이폰을 사용했으며, 시스템은 기본 문자와 숫자키로 구성된 36개 키로 제한됐다. 블리핑 컴퓨터(Bleeping Computer)에 의하면 신뢰할 수 있는 학습 시스템을 만들기 위해 각 키의 소리를 25번 연속으로 들려줘야 했으며, 입력되는 텍스트 형식의 키 입력이 필요했다. 

이후 오디오만으로 입력되는 내용을 전사할 수 있었다고 연구진은 전했다. 즉, 실제 환경에서 이런 결과를 재현하는 시스템을 개발하려면 신뢰할 수 있는 모델을 구축하기 위해 훨씬 더 많은 입력이 필요하다는 의미다. 예를 들어 Z나 X 키는 E와 A만큼 자주 사용되지 않는다. 

하지만 노트북 키는 이미 조용하기 때문에 키 소음을 줄이는 것은 유효한 방법이 아닌 것 같다. 연구진은 이런 공격을 예방하고 싶다면 무작위 비밀번호를 사용하라고 권장했다. 대문자와 특수문자 등이 많이 포함된 20자리 이상의 비밀번호는 95%의 정확도를 자랑하는 시스템이 (사용자의 비밀번호를) 자동으로 감지하는 것을 방지하기에 충분히 복잡하다. 

아울러 다른 예방 수단으로는 백색 소음, 소프트웨어 기반 키보드 오디어 필터, 임의의 키 입력 소리를 재현해 알고리즘을 혼동시키는 소프트웨어 등이 있다. 생체 인식 인증, 비밀번호 관리자, 비밀번호 키를 사용하는 것도 도움이 될 수 있다. 
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.