한겨레

카페나 도서관 같은 공공장소에서 스마트폰과 노트북을 올려놓고 공부를 하거나 업무를 보는 풍경은 낯익다. 이런 평범한 일상도 보안 위협 앞에서 자유롭지 못할 수 있다는 실험 결과가 나왔다. 키보드 소리만 듣고도 입력 내용을 거의 정확하게 감지해내는 기술 때문이다.

지난 8월 초 공개된 논문을 보자. 영국 더럼대, 서리대, 로열홀러웨이대 학자들로 구성된 연구진은 흥미로운 실험을 진행했다. 장비는 간단했다. 최신형 맥북프로와 아이폰, 그리고 머신러닝 알고리즘 코드였다.

연구팀은 아이폰과 맥북프로를 15㎝ 거리를 두고 배치한 뒤 맥북프로 키보드를 눌러가며 소리를 아이폰으로 녹음했다. 대상 키는 알파벳 26개와 숫자 10개를 더한 36개 키로 한정했다. 학습 신뢰도를 높이기 위해 각 키의 소리를 25번씩 연속으로 들려줬고, 각 키는 완성된 텍스트 형식으로 입력했다. 인공지능에겐 각 키의 독특한 파형을 학습시켰다.

결과는 놀라웠다. 인공지능은 파형의 미묘한 차이를 구분해 입력 내용을 최대 95%까지 정확히 맞혔다. 키 소리를 직접 들려주는 대신 ‘줌’이나 ‘스카이프’같은 화상회의 프로그램으로 연결했을 땐 정확도가 91%로 조금 떨어졌지만, 이 또한 놀라운 수준이다.

이번 연구가 흥미로운 이유는 또 있다. 연구진은 기계식 키보드가 아닌, 맥북프로의 내장 키보드를 실험에 썼다. 기계식 키보드는 타건음이 대체로 크고 또렷하지만, 맥북프로 키보드는 조금만 떨어져도 인식하기 힘들 정도로 조용하다. 연구팀은 타건 소리가 큰 기계식 키보드에선 정확도가 더 높다고 밝혔다. 반대로, 터치 방식으로 입력 기기를 바꾸면 정확도가 뚝 떨어진다.

이런 ‘부채널 공격’은 암호학에선 낯선 기법이다. 알고리즘의 약점을 찾아 무차별 공격하는 대신, 소요 시간이나 전자기파, 소비전력 차이나 소리 같은 체계화된 정보를 분석해 공격을 진행하는 방식이다. 이번 실험도 키보드 각 키의 미세한 소리 차이를 구분해 정보를 탈취했다. 스마트폰을 비롯한 휴대기기가 보급되며 가장 사적인 공간에서도 24시간 카메라와 마이크 앞에 노출되는 환경에 놓였다.

도·감청 기술도 날로 진화한다. 올해 초 기밀 문건이 유출됐을 때 드러난 미국 정부의 동맹국 도·감청 방법은 다양했다. 레이저를 창문에 쏴 창문 안쪽의 소리를 분석하는 방식은 차라리 낭만적이다. 휴대폰에 악성 프로그램(멀웨어)을 심고 휴대폰 스피커의 떨림을 측정해 도청하기도 했고, 방 안의 로봇청소기에 접속해 실내 소리를 탈취한 사례도 드러났다. 방 안 전구 표면의 기압차를 원격으로 분석한다거나 잠자리 눈에 전달되는 음파 진동을 레이저로 잡아내 대화 내용을 엿듣는다는 설명은 공상과학 영화의 한 장면에 가까웠다.

이번 실험이 곧바로 공공장소에서 보안 위협으로 이어지지는 않을 듯하다. 이 연구는 주어진 조건이 모두 들어맞았을 때 발생할 수 있는 보안 위협을 재연한 실험에 가깝다. 이런 공격이 성공하려면 휴대폰이나 노트북에 악성 코드를 심어 마이크로 전달되는 소리를 탈취해야 한다. 이용자가 키 입력 과정에서 인식을 방해하는 백색 소음을 내거나 다른 키를 추가로 눌러 혼동을 줄 수도 있다. ‘z’나 ‘q’처럼 자주 누르지 않는 키는 짧은 텍스트에선 인식 정확도가 더욱 떨어진다. 또 이번 실험은 지문이나 안면인식 같은 생체인식 시스템에선 무용지물이다. 그래도 조심할 일이다. 연구진은 무작위 비밀번호를 쓰는 것만으로도 95% 정확도를 보이는 탈취 기법으로부터 개인정보를 안전히 지킬 수 있다고 충고했다.

이희욱 미디어랩부장 asadal@hani.co.kr