도각도각 키보드 소리…’해킹’으로 이어진다

키보드 타이핑 소리만 들어도 어떤 키를 입력했는지 파악하는 해킹 방법이 등장했다.

​

8월 2일(현지시간) 미국 코넬대 연구팀은 키보드 소리만으로 어떤 키를 입력했는지 분석하는 인공지능(AI) 모델을 발표했다. 연구팀은 키보드 소리를 녹음하고 AI 모델로 분석하면 어떤 내용을 입력했는지 매우 높은 확률로 파악할 수 있다고 밝혔다.

​

​

■ 녹음한 키보드 소리, AI가 어떤 키인지 알아낸다

​

전체 과정은 ①키보드 소리를 녹음하고 ②소리 파형을 시각화한 다음 ③AI로 분석해 어떤 키를 입력했는지 분석하는 순이다.

​

연구팀이 키보드 소리를 녹음할 때 사용한 방법은 2가지다. 하나는 키보드 근처에서 스마트폰으로 녹음하는 방법, 다른 하나는 줌(Zoom)·스카이프(Skype) 같은 온라인 통화 서비스를 통해 소리를 녹음하는 방법이다.

키보드 소리를 파형과 스펙트로그램으로 표현한 모습 (출처 : arxiv)

녹음된 키보드 소리는 눈에 보이는 형태로 변환된다. 변환 가능한 형태는 파형과 스펙트로그램 두 가지다. 둘 다 소리의 음역대별 음압을 그래프로 보여준다.

​

시각화한 파형이나 스펙트로그램은 미리 훈련시킨 AI 모델로 분석한다. 연구팀은 2021년 구글이 발표한 이미지 분류 모델 ‘CoAtNet’을 사용했다고 밝혔다. 맥북 프로 키보드 중 36개 키를 각각 25번 누른 다음 녹음된 소리를 데이터로 만들어 학습시켰다. 학습에 사용한 맥북 프로 키보드는 지난 2년 동안 애플이 출시한 모든 노트북에 사용된 것과 동일하다. 즉, 이 학습 데이터만으로 애플 노트북 키보드 소리 대부분을 분석할 수 있다.

6가지 키의 파형. 자세히 보면 파형이 서로 다르다 (출처 : arxiv)

키보드 소리를 분석하는 게 그렇게 쉬울까 의문을 가질 만하다. 보통 한 키보드에 탑재한 스위치는 모두 동일하다. 키를 눌렀을 때 나는 소리는 거의 같다. 하지만 마이크를 기준으로 마이크까지의 거리와 방향은 제각각 다르다. 따라서 키를 누를 때 녹음되는 소리에도 차이가 발생한다. 소리를 파형이나 스펙트로그램으로 시각화하면 이 차이는 더 분명해진다. 발표 자료를 보면 6가지 키를 눌렀을 때 파형은 제각각 다르게 나타났다.

​

​

■ 정확도 최대 95%…인지 못한 채 해킹당할 가능성 선보여

​

연구팀은 이 방법으로 어떤 키를 입력했는지 매우 높은 정확도로 파악할 수 있다고 밝혔다. 정확도는 녹음 방식에 따라 차이 났다. 스마트폰으로 녹음한 소리는 95%, 줌으로 녹음한 소리는 93%, 스카이프로 녹음한 소리는 91.7% 정확도를 보였다.

해커가 바로 옆에서 스마트폰으로 키보드 소리를 녹음한다면 20회 중 19회 꼴로 어떤 키를 눌렀는지 읽히는 셈이다. 해커가 근처에 없다고 안심하기도 어렵다. 온라인 통화 서비스를 통해 녹음한 소리의 정확도도 만만찮게 높다. 어디까지나 직접 녹음한 소리에 비해 약간 부정확할 뿐이다. 어떤 키를 입력했는지 원격으로도 충분히 알아낼 수 있다.

​

보통은 자신이 어떤 내용을 입력했는지 키보드 소리로는 알기 어렵다고 생각한다. 하지만 이번 연구 발표를 통해 평소 신경 쓰지 않았던 키보드 소리가 보안 취약점이 될 수 있다는 사실은 모두에게 경각심을 주고 있다.

​

​

■ 예방법 간단해…녹음 방해하면 그만

​

연구팀이 발표한 방법은 실제 해킹 수단으로 악용될 여지가 있다. 다행히 해킹을 예방하는 방법은 매우 간단하다. 상대방이 키보드 소리를 제대로 녹음하지 못하게 방해하면 된다.

​

음악을 재생하면 키보드 소리와 섞여 분석하기 어렵다. 타이핑할 때 효과음이 랜덤으로 재생되는 소프트웨어를 사용해 혼란을 주는 방법도 있다. 화상 회의처럼 음악이나 효과음을 켜기 곤란한 상황에서는 백색소음을 재생하면 회의를 방해하지 않고도 해킹 예방이 가능하다.

비밀번호처럼 중요한 정보를 입력할 때 의도적으로 타이핑 방법을 바꾸는 방법도 있다. 일부러 손에 힘을 주고 타이핑하거나 손톱으로 누르면 평소와 다른 소리가 녹음돼 분석 정확도는 떨어진다. 연구 내용에 따르면 타이핑 방법을 바꾸자 분석 정확도가 40%로 떨어졌다.

​

이번에 연구팀이 공개한 AI 모델은 미리 학습한 키보드 소리만 분석 가능하다. 따라서 대중적인 키보드를 사용하지 않으면 분석이 어려울 수 있다. 하지만 완벽한 예방법은 아니다. 각 키마다 소리 패턴이 일정하게 차이 난다면 AI가 학습하면서 정확도가 높아질 가능성이 있다.

​

저소음 키보드로 교체하는 방안은 추천하지 않는다. 아무리 소음을 줄인 키보드라도 소리를 완전히 내지 않고 타이핑하는 건 불가능하기 때문이다. 연구팀에 따르면 이 AI 모델은 매우 조용한 키보드 소리도 효과적으로 분석한다. 따라서 기계식 키보드에 방음 장치를 달거나 조용한 키보드로 교체하더라도 키 입력 내용이 유출될 가능성은 있다.

가장 확실한 예방법은 중요한 정보를 키보드로 입력하지 않는 것이다. 윈도우 헬로(Windows Hello)나 지문 인식 센서 같은 생체 인증 수단, 암호 관리자 소프트웨어를 통한 자동 입력을 사용하면 키보드가 없어도 비밀번호처럼 중요한 정보를 입력하는 게 가능하다. 윈도우 기본 프로그램 ‘화상 키보드’를 띄우고 마우스로 키를 클릭해 입력하는 방법도 있다.

​

​

​

테크플러스 에디터 이병찬

tech-plus@naver.com​