로그인 바로가기

중앙 내용으로 바로가기

한국디지털융합직업전문학원

본문내용

본문

정보보안&해커 뉴스
+ Home > 입학신청 > 정보보안&해커 뉴스
모바일 비밀번호 네 자리, 83.7% 확률로 뚫는다.|
  • 작성자
    황혜리
  • 등록일
    2018-01-08 12:01:04
    조회수
    1658

 

여섯 가지 센서에서 수집된 정보, 사용자 동의 없어도 접근 가능
다중인증 사용할 것 권장...원래는 OS 제조사들이 정책 바꿔야




 

 

싱가포르의 난양기술대학(Nanyang Technological University)의 연구원들이 모바일 기기 사용자들이 설정해놓은 PIN 번호를 알아내는 데에 성공했다. 이들이 사용한 건 스마트폰 내 장착된 센서 여섯 개와 머신러닝 알고리즘이었다. 센서들로부터 정보를 모은 후 알고리즘으로 비밀번호를 파악해내는 것인데, 가장 흔한 비밀번호 50개 중 하나가 사용되고 있다는 조건 하에 총 세 번 시도를 기준으로 정확도가 무려 99.5%라고 한다.

 

난양기술대학에서 말하는 PIN 번호는 표준 네 자리 번호들을 말한다. 즉 0000부터 9999까지 총 1만 개의 PIN 중 올바른 것을 하나 골라내는 것이 이들에게 주어진 과제였던 것이다. 결과부터 말하면 단일 사용자 모드에서 20번을 시도하면 83.7%의 확률로 비밀번호를 풀어낼 수 있었다. 이전 PIN 크래킹 시도에서 기록된 성공확률은 74%였으니, 적잖이 성공률이 올라간 것이라고 볼 수 있다.

연구원들이 사용한 센서는 1) 가속도계, 2) 자이로스코프, 3) 자기력계, 4) 근접 센서, 5) 기압계, 6) 주변광 센서였다. 연구원들은 이 여섯 개 센서를 ‘제로 퍼미션 센서(zero-permission sensor)’라고 총칭하고 있다. 사용자의 동의 없어도 앱들이 이 센서들에서 수집된 정보에 접근할 수 있기 때문이다.

또한 연구원들은 세 명의 피실험자를 동원해 각각 70개의 네 자리 PIN 번호를 전화기에 입력하도록 했다. 여섯 개 센서들로부터 수집된 정보를 이 숫자들과 매칭시켰다. 머신러닝 알고리즘을 학습시키기 위함이었다. 즉, 사용자가 폰을 어떤 자세로 들고, 어떤 기울기로 화면을 두드리거나, 손가락이 빛을 얼마나 가리고 있는지 등의 정보와 숫자를 결합시켜 PIN 번호를 알아맞히도록 한 것이다. 샘플이 늘어나고 사용자가 PIN 번호를 입력하는 횟수가 증가할수록 이는 더 정확해진다고 연구원들은 설명한다.

연구원 중 한 명인 쉬밤 바신(Shivam Bhasin) 박사는 “전화기를 손에 들고 1을 누르고, 5를 누르고, 9를 누를 때의 자세나 전화기의 움직임은 크게 달라진다”고 설명한다. “예를 들어 오른손 엄지로 1을 누르면 9를 누를 때보다 빛을 더 많이 가리기도 하고요. 숫자마다 독특한 정보들이 센서에 기록되는 것 같더군요. 이걸 머신러닝이 학습할 수 있도록 한 겁니다.”

성공률이 83.7%라면 상당히 ‘현실적’이라는 걸 알 수 있다. 단순히 연구가 아니라 실제 공격에 당장이라도 활용될 수 있다는 뜻이다. 가장 흔히 사용하는 비밀번호 50개중 하나라면 이 성공률은 99.5%로 크게 뛴다. 거의 무조건 알아내는 게 가능하다. 바신 박사는 “모바일 운영 시스템 제조사들이 센서로의 접근과 관련된 정책을 보다 엄격하게 바꿔야 한다”고 주장한다.

“OS 제조사들이 이를 바꿔줄 때까지 시간이 아직 좀 남았습니다. 그 때까지 일반 사용자들이 사용할 수 있는 방법은 두 가지 있습니다. 1) PIN 번호를 네 자리 이상으로 바꾸거나, 2) 다중인증을 사용하거나죠. 다중인증을 사용하기 위해선 지문이나 안면정보를 등록하는 것이 요즘 가장 각광받고 있습니다.”

또 다른 연구자인 간 치 리(Gan Chee Li) 교수는 이번 연구 성과에 대해 “아무리 안전하게 보이는 기기라 하더라도, 치고 들어갈 구멍은 반드시 존재한다는 걸 증명해냈다”고 말한다. “이런 식으로 비밀번호를 알아맞힌다면 핸드폰에 저장된 거의 모든 정보를 공격자가 가져갈 수 있게 됩니다. 이번 연구 결과를 많은 보안 담당자들이 이해해야 할 필요가 있어 보입니다.”

 

 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[국제부 문가용 기자(globoan@boannews.com)]

 

 

#싱가포르   #모바일   #기사    #모션   #센서   #기술   #비밀번호   #알아냄   

 

 

 

목록보기
답글달기수정하기
삭제하기

관련 쪽지글