비밀번호를 입력한 후 스마트폰에 남아있는 손끝의 열로 암호를 해독할 수 있다는 연구 결과가 나왔다.
영국 글래스고대 모하메드 카미스 교수 연구진은 최근 키보드와 스마트폰 화면에 남아 있는 열 흔적을 분석해 몇 초 만에 비밀번호를 추측할 수 있는 시스템을 개발했다. 이번 연구 결과는 국제 학술지 ‘ACM 트랜잭션 온 파르이버스&시큐리티’에 발표됐다. 카미스 교수는 “도둑을 잡으려면 도둑처럼 생각해야 한다”며 “열화상을 악용해 컴퓨터와 스마트폰에 침입하는 방법에 대해 신중하게 생각해봐야 한다”고 말했다.
연구진은 열화상 사진을 분석하는 인공지능(AI) 시스템 ‘서모시큐어(ThermoSecure)’를 개발했다. 열화상 사진은 사람이 만진 부위에 더 많은 열이 남아있어 밝은 빛으로 표시된다. 즉 열의 강도를 측정해서 비밀번호를 구성하는 특정 문자와 숫자, 기호를 알아내고 이를 통해 순서를 조합하는 것이다. 연구진은 “표면을 만진 후 30~60초 사이에 촬영한 열화상 사진을 주의 깊게 살펴보는 것만으로도 암호를 알아낼 수 있음을 보여줬다”고 했다.
연구진은 사용자들의 키보드 열화상 사진 1500장을 다양한 각도에서 촬영해 분석했다. 그 결과 키보드 사용 후 20초 안에 서모시큐어로 열화상 사진을 촬영할 때 암호를 뚫을 확률이 86%나 되는 것으로 나타났다. 30초 이내 촬영 때에는 확률 76%, 60초 내에는 62%로 암호를 뚫었다.
비밀번호가 짧을수록 해킹하기 더 쉬웠다. 사용 후 20초 이내에 찍은 열화상 사진을 분석한 결과, 16자리의 비밀번호는 67%를 해독할 수 있었다. 12자 암호는 82%, 9자 암호는 93%, 6자 암호는 100%로 해킹이 가능했다. ATM이나 은행 계좌에 사용하는 짧은 비밀번호일수록 더 취약하다는 의미다.
사용자들의 타이핑 습관도 암호 해독에 영향을 줬다. 키보드를 만지고 30초 후의 사진을 촬영한 결과, 천천히 타이핑하는 사람은(92%) 빠르게 타이핑하는 사람(80%)보다 취약했다. 키보드에 손을 오래 둘수록 열이 더 오래가기 때문이다. 또 키보드 소재에 따라서 암호 해독률에 차이가 있었다.
연구진은 해커들이 이런 수법을 얼마든지 쓸 수 있다고 경고했다. 열화상 카메라는 한 대에 220달러(약 30만원) 미만으로 저렴하며 인공지능도 점점 더 쉽게 사용할 수 있기 때문이다. 연구진은 이런 문제를 해결할 수 있는 AI도 개발 중이다. 카미스 교수는 “암호가 길수록 시스템이 정확하게 추측하기 어렵기 때문에 가능한 한 긴 암호를 사용하는 것이 좋다”며 “지문이나 얼굴 인식 같은 대체 인증 방법은 더 안전할 것”이라고 밝혔다.