적외선 카메라만 있으면 AI 머신러닝으로 비밀번호를 훔칠 수 있다는 논문 발표

영국의 연구원들이 적외선 카메라와 기계 학습을 사용하여 키보드로 입력한 내용을 훔칠 수 있음을 확인했습니다.

University of Glasgow - University news - AI-driven 'thermal attack' system reveals passwords in seconds

University of Glasgow - University news - AI-driven ‘thermal attack’ system reveals passwords in seconds

영국 글래스고 대학의 연구팀이 발표한, 열과 AI에 의한 해킹 기술 'ThermoSecure(써모 시큐어 : Thermo라는 단어는 열과 관련된다는 뜻을 나타냅니다)'의 기본적인 원리는 키보드를 적외선 카메라로 촬영하고 타열에 의해 전해진 손가락의 열로부터 키 입력을 추측한다는 것입니다.

by University of Glasgow


이 기술에 의해,
6 문자의 패스워드는 평균 92%,
8 문자라면 80%,
12 문자라면 71%,
16 문자라도 55%의 정밀도로 도출할 수가 있었습니다. 

입력으로부터 1분이 경과한 후에도 평균 62%의 정밀도로 읽어낼 수 있었고, 입력으로부터 20초 이내의 6 문자 패스워드라면 정밀도는 100%에까지 도달했습니다.

by University of Glasgow


연구팀에 따르면 키보드 촬영에 필요한 적외선 카메라 등의 장비 세트는 150달러(약 20만 원) 전후로 조달할 수 있다는 것. AI 소프트웨어의 관점에서, 딥 러닝에 의한 물체 검출 기술인 Mask RCNN으로 키 입력이 검출되고 알고리즘에 의해 타열 순서가 결정됩니다.

연구에 의해, ThermoSecure를 방지하는 법도 고안되었습니다. 연구팀은 "키보드를 내려다보며 검지 손가락 만으로 입력하는 사용자는 열 해킹에 약하다."라고 지적하고 있으며, 이와는 반대로 긴 패스워드를 빠르게 입력함으로써 추측을 어렵게 할 수 있다고 생각됩니다. 또한, ABS 수지 쪽이 PBT 수지보다 길게 열을 유지하기 때문에, 손가락의 열이 남기 어려운 PBT 수지제 키보드를 선택하는 것으로 추측의 정밀도를 떨어뜨릴 수 있다고 합니다. 또한, 발열하는 백라이트가 달린 키보드를 사용하는 방법도 있다는 것 외에, ID와 패스워드를 입력한 후 적어도 1분간은 키보드 곁을 떠나지 않는 것으로 적외선 카메라 촬영에 대비할 수 있습니다.

by University of Glasgow


연구 논문을 다룬 IT계 뉴스 사이트 Tom's Hardware는 "이러한 열 공격은 사용자가 자리를 뜬 후, 수십 초 경과해도 놀라울 정도의 높은 정밀도를 자랑하고 있습니다. 조심해서 손해 볼 일은 없으며, 그 밖에도 수많은 스키밍 기술들이 나돌고 있다는 것도 확실합니다. 비밀번호를 입력한 직후에는 노트북이나 스마트폰을 방치하지 마시고, 기기에 대한 무단 액세스를 방지하는 것도 공격 차단에 효과적입니다."라고 코멘트하고 있습니다.