적외선 카메라와 AI로 패스워드를 알아낼 수 있다

by University of Glasgow source:https://www.gla.ac.uk/media/Media_885927_smxx.jpg

데이터의 보안을 지키려고 하는 안전대책과 그것을 돌파하려는 해킹수법의 발달은 계속되었고 지금까지 PC로부터 발산되는 소리나 전자파, 열을 사용해 데이터를 훔치는 방법이 시도되어 왔습니다. 최근 영국의 연구자들은 적외선 카메라와 기계학습을 사용하여 키보드로 입력한 내용을 훔칠 수 있음을 확인했습니다.

ThermoSecure: Investigating the Effectiveness of AI-Driven Thermal Attacks on Commonly Used Computer Keyboards | ACM Transactions on Privacy and Security
https://doi.org/10.1145/3563693

ThermoSecure: Investigating the Effectiveness of AI-Driven Thermal Attacks on Commonly Used Computer Keyboards | ACM Transaction

University of Glasgow - University news - AI-driven ‘thermal attack’ system reveals passwords in seconds
https://www.gla.ac.uk/news/headline_885914_en.html

University of Glasgow - University news - AI-driven ‘thermal attack’ system reveals passwords in seconds

영국의 글래스고 대학 연구자팀이 발표한 열과 AI에 의한 해킹기술 'ThermoSecure'의 기본적인 원리는 키보드를 적외선 카메라로 촬영하고 타이핑에 의해 전해진 손가락의 열로부터 키 입력을 추측한다는 것.

by University of Glasgow source:https://cdn.mos.cms.futurecdn.net/vJEcsov7pkyJY6c5yc5BWP.jpg

이 기술로 6문자의 패스워드를 평균 92%, 8문자라면 80%, 12문자라면 71%, 16문자라도 55%의 정밀도로 도출할 수가 있습니다. 입력으로부터 1분이 경과한 후에도 평균 62%의 정밀도로 읽을 수 있었고 입력으로부터 20초 이내 또한 6문자라는 조건이라면 정밀도는 100%에 도달했습니다.

by University of Glasgow source:https://cdn.mos.cms.futurecdn.net/EToX8EMBAnXLeDpQzTLyKP.jpg

연구팀에 따르면 키보드 촬영에 필요한 적외선 카메라 등 장비세트는 150달러 전후로 조달할 수 있다는 것. AI 소프트웨어로는 딥러닝에 의한 물체검출 기술인 Mask RCNN에서 키 입력이 검출되고 알고리즘에 의해 타이핑 순서가 결정됩니다.

연구팀은 ThermoSecure을 방지하는 대책도 고안해냈습니다. 키보드를 보면서 검지손가락으로 입력하는 사용자는 열에 의한 해킹에 취약했고 반대로 긴 패스워드를 빠르게 입력하면 키 입력 추측을 어렵게 할 수 있다고 합니다.

또 ABS 수지 쪽이 PBT 수지보다 길게 열을 유지하기 때문에 손가락의 열이 남기 어려운 PBT 수지제의 키보드를 선택하면 추측의 정밀도를 떨어뜨릴 수 있다는 것. 또한 발열하는 백라이트가 있는 키보드를 사용하거나 ID와 패스워드를 입력한 후 적어도 1분간은 대기해 적외선 카메라로 촬영되는 것을 방지합니다.

연구논문을 거론한 IT계 뉴스사이트 Tom's Hardware는 “이러한 열 공격은 사용자가 키보드에서 벗어나 수십 초 경과해도 놀라울 정도로 높은 정밀도를 자랑하고 있으므로 셍체인증이나 다요소인증을 도입하고 비밀번호를 입력한 직후에는 노트북이나 스마트폰을 휴대해 기기에 대한 무단 액세스를 막는 것도 공격차단에 효과적"이라고 보았습니다.