- 영국 연구팀이 음향 공격을 이용해 키보드 키 입력에서 데이터를 95%의 정확도로 도난하는 딥러닝 모델을 개발하였다.
- 이 모델의 정확도는 Zoom을 이용해 소리 분류 알고리즘을 훈련시킬 때 93%로 떨어지지만, 이는 여전히 위험하게 높고 이 분야에서는 기록적인 정확도이다.
- 이러한 공격 유형은 비밀번호, 대화, 메시지, 그 외 민감한 정보를 악의적인 제3자에게 유출할 가능성이 있어 데이터 보안에 중대한 위협을 가한다.
- 특정 조건을 필요로 하고 데이터 전송률과 거리에 제한이 있는 다른 부수 채널 공격과 달리, 음향 공격은 고음질 오디오 캡처가 가능한 마이크를 갖춘 장치가 널리 사용되고 있어 더욱 간단해졌다.
- 공격의 첫 단계는 대상의 키보드에서 키 입력을 녹음하는 것으로, 이는 근처의 마이크, 악성 소프트웨어에 감염된 대상의 전화, 또는 Zoom 통화를 통해 수행될 수 있다.
- 연구자들은 MacBook Pro의 36개 키를 각각 25번씩 누르며 발생하는 소리를 녹음하여 훈련 데이터를 수집하였다.
- 녹음된 키 입력 소리는 파형과 스펙트로그램으로 변환되어, 이미지 분류기인 'CoAtNet'을 훈련시키는 데 사용되었다.
- 연구자들은 스마트폰 녹음에서 95%의 정확도를, Zoom을 통해 캡처된 녹음에서는 93%의 정확도를 달성하였다. Skype는 91.7%의 낮지만 사용 가능한 정확도를 보였다.
- 음향 부수 채널 공격의 위험을 줄이기 위해, 사용자들은 타자 스타일을 변경하거나, 무작위 비밀번호를 사용하거나, 키 입력 소리를 재현하거나, 백색 소음을 사용하거나, 소프트웨어 기반의 키 입력 오디오 필터를 사용할 수 있다.
- 연구자들은 추가적인 예방 조치로 가능한 경우 생체 인증을 사용하고, 수동으로 민감한 정보를 입력하는 것을 피하기 위해 비밀번호 관리자를 사용하는 것을 제안한다.
- 공격 모델은 매우 조용한 키보드에 대해서도 매우 효과적이었음을 증명하였다. 이는 기계식 키보드에 소리 감쇠기를 추가하거나 막형 키보드로 전환하는 것이 도움이 되지 않을 것임을 나타낸다.