물론 이 시스템은 ‘실제’ 위협이 아니라 개념 증명에 가깝다. 보안 관리자가 잠재적인 위험을 인지할 수 있도록 진행된 연구다.
영국의 더럼 대학교, 서리 대학교, 런던 로열 할러웨이 대학교(PDF 링크)의 연구진은 2단계 프로세스를 개발했다. 우선 표적 맬웨어가 설치된 스마트폰같이 손상된 벡터를 통해 특정 키보드의 키 입력을 녹음했다. 그다음 해당 녹음을 사용해 키보드의 개별 키가 내는 소리의 청각적 차이를 결정하는 알고리즘을 학습시켰다.
연구진에 따르면 이 데이터를 분석 프로그램에 넣으면 최대 95%의 정확도로 입력되는 내용을 들을 수 있다. 스마트폰으로 녹음한 결과, 줌과 스카이프를 통해 녹음된 내용은 각각 93%와 91.7%의 정확도를 보였다.
이번 테스트에서 연구진은 맥북 프로와 아이폰을 사용했으며, 시스템은 기본 문자와 숫자키로 구성된 36개 키로 제한됐다. 블리핑 컴퓨터(Bleeping Computer)에 의하면 신뢰할 수 있는 학습 시스템을 만들기 위해 각 키의 소리를 25번 연속으로 들려줘야 했으며, 입력되는 텍스트 형식의 키 입력이 필요했다.
이후 오디오만으로 입력되는 내용을 전사할 수 있었다고 연구진은 전했다. 즉, 실제 환경에서 이런 결과를 재현하는 시스템을 개발하려면 신뢰할 수 있는 모델을 구축하기 위해 훨씬 더 많은 입력이 필요하다는 의미다. 예를 들어 Z나 X 키는 E와 A만큼 자주 사용되지 않는다.
하지만 노트북 키는 이미 조용하기 때문에 키 소음을 줄이는 것은 유효한 방법이 아닌 것 같다. 연구진은 이런 공격을 예방하고 싶다면 무작위 비밀번호를 사용하라고 권장했다. 대문자와 특수문자 등이 많이 포함된 20자리 이상의 비밀번호는 95%의 정확도를 자랑하는 시스템이 (사용자의 비밀번호를) 자동으로 감지하는 것을 방지하기에 충분히 복잡하다.
아울러 다른 예방 수단으로는 백색 소음, 소프트웨어 기반 키보드 오디어 필터, 임의의 키 입력 소리를 재현해 알고리즘을 혼동시키는 소프트웨어 등이 있다. 생체 인식 인증, 비밀번호 관리자, 비밀번호 키를 사용하는 것도 도움이 될 수 있다.
editor@itworld.co.kr