게시물-제목없음

#정보보호 #정보보안 #IT보안 #사이버보안

고화질 영상 회의에서 픽셀 단위로 어깨 움직임 관찰해 키보드와 매핑해

타자 치는 내용 유추 가능…아직은 위협적인 정확도 아니지만 더 높아질 가능성 충분

[보안뉴스 문가용 기자] 줌 스누핑(Zoom Snooping)이라는 새로운 공격 기법이 발견됐다. 화상 회의 솔루션을 통해 보이는 인물들의 어깻짓을 관찰함으로써 타이핑 되고 있는 내용을 파악할 수 있고, 이를 통해 비밀번호 등 각종 민감 정보들이 유출될 수 있다는 것이다. 텍사스대학의 연구원들이 발표한 것으로, 이 공격은 스카이프와 행아웃 등 다른 화상 회의 솔루션에도 적용이 가능하다.

[이미지 = utoimage]

이 연구를 이끈 무르투자 자들리왈라(Muuza Jadliwala)는 “화상 회의 영상을 상세하게 살펴보는 것만으로 의미 있는 정보를 추출하는 게 가능할까?”라는 질문에 대한 답을 찾기 위해 연구를 시작했다고 한다. 처음에는 제한적인 환경에서, 제한적인 단어만 가지고 실험을 진행했다. 타자치는 내용을 파악하는 것이 실험의 목적이었는데 정확도가 점점 올라가 75%까지 기록했다고 한다. 여기서 제한적 환경이라는 건, 의자와 키보드, 웹캠을 고정적으로 사용했다는 것을 말한다. 관찰 대상자의 머리카락이나 소매가 길 경우와 ‘독수리 타법’을 구사하는 경우 정확도가 떨어졌다.

자들리왈라는 보고서를 통해 “화상 회의에 참여하는 사람들 거의 대부분이 다양한 활동을 동시에 벌인다”며 “타이핑이라는 행위가 포함될 때가 많다”고 설명한다. “맨 눈으로 봐도 그런 사람들의 어깨 부위와 상체가 미세하게 흔들리는 걸 알 수 있었습니다. 여기서부터 저희의 호기심이 시작된 것이죠.” 그러면서 고화질로 영상 회의가 진행될 경우 미세한 픽셀의 변화를 읽고 어깨나 팔이 동서남북 방향으로 이동 중이라는 걸 유추할 수 있다는 걸 확인했다. 이 움직임과 쿼티 자판을 매핑시켜 텍스트 유추를 시작했다.

결과부터 말하면 이 공격 기법은 아직 가다듬어지고 있는 중이고 최대 정확도도 75% 정도에 불과하다. 하지만 코로나 사태로 인해 고화질 화상 회의가 세계 곳곳에서 진행 중이고, 따라서 분석 사례가 지금 이 순간에도 어마어마한 속도로 쌓이고 있다는 것 자체가 이 공격의 실현 가능성을 높이고 있다. 보안 전문가 브루스 슈나이어(Bruce Schneier)도 자신의 블로그를 통해 “아직 공격 정확도가 위협적이라고 할 수는 없지만, 공격이 성립된다는 것 자체가 놀라운 일”이라고 썼다.

코로나 사태로 화상 회의 앱들이 보다 많은 사용자들 사이에 퍼지다 보니, 보안 전문가와 해커들의 관심도 높아지고 있다. 특히 폭발적인 사용량 증가를 보인 줌(Zoom)의 경우 ‘줌 바밍(Zoom Bombing)’ 등 다양한 이슈들이 나오기도 했다. 줌 바밍은 영상 회의 세션에 몰래 침투해 각종 혐오 문구나 외설 이미지들을 도배해 회의 진행을 불가능하게 만드는 행위를 말한다. 그 외에도 줌은 있지도 않은 암호화 기능을 사용자들에게 제공한다고 하다가 고소를 당하기도 했고, 뒤늦게서야 종단간 암호화를 모든 사용자들에게 적용할 것이라고 발표했다.

줌에서만 이슈가 나오는 건 아니다. 시스코의 화상 회의 솔루션인 웹엑스(Webex)에서도 바로 전달인 10월 세 가지 고위험군 취약점과 11개의 중간급 취약점이 발견돼 패치가 진행되기도 했었다.

누군가 당신의 어깻짓을 보고 민감한 정보를 탈취하려고 할 때(이러한 공격 기술이 좀 더 정교해졌을 때) 어떻게 방어를 해야 할까? 자들리왈라는 다음 몇 가지 실천 사항들을 권고하고 있다.

1) 화상 회의를 진행할 때 기존 도구들을 사용해 배경을 흐릿하게 만든다. 텍사스대학 연구진들이 블러 처리된 배경을 놓고 실험을 진행했을 때 유추 정확도는 13%로 크게 떨어졌다고 한다. 심지어 블러 처리에 컴퓨팅 자원이 많이 소요되는 것도 아니라, 효과적인 방어법이 될 수 있다고 한다.

2) 비슷한 것으로 픽셀화(pixelation)와 프레임 스키핑(frame skipping)이라는 기법도 있다. 이 또한 유추 정확도를 크게 낮추는 것으로 나타났다.

자들리왈라는 “아직 이런 공격법이 있다고 과도하게 걱정하거나 화상 회의를 취소할 필요는 없다”고 강조했다. “지금으로서는 가상의 공격 기법에 가깝고, 아직 이러한 종류의 공격 시도 사례가 발견된 바 없습니다. 다만 실제 ‘케이스 스터디’가 빠르게 누적되고 있고, 이를 통해 충분한 학습과 개발이 가능하며, 그렇기에 얼마든지 실현 가능한 위협이 될 수 있다는 건 염두에 둘 필요가 있습니다.”

4줄 요약

1. 코로나 때문에 늘어난 화상 회의.

2. 회의 때 딴짓하는 사람들이 대부분이고, 이 때 어깨 모양이 살짝살짝 변함.

3. 이를 잘 관찰하면 75% 정도 정확도로 타이핑 되는 내용 유추 가능함.

4. 머리 기르자.

------------------------------------------------------------------------------------------------------------------

줌이나 웹엑스에서 취약점이 발견되었다는건 전에 들어서 별로 놀라지 않았으나 화상회의 내용에서 어깨의 움직임을 통해 암호를 유추해낸다는 생각을 했다는거에서 충격이었다. 가상의 공격기법이라도 이를 완전히 무시할만한 것은 아니다. 그렇기에 위에서 나온것 처럼 블러처리 혹은 픽셀화처럼 이에 대한 보안을 강화해야할 것이다.