스와이프 마찰음을 활용하여 사용자의 지문을 27.9%의 정확도로 재구현해
페이지 정보
본문
중국과 미국의 연구진은 허위 인식률(FAR)이 최고 보안 수준인 0.01%로 설정된 상태에서 5회 시도 내에 부분 지문의 27.9%와 전체 지문의 9.3%를 공격할 수 있었습니다.
제안된 부채널 공격인 'PrintListener'는 사용자가 스마트폰에서 소셜 미디어 또는 기타 앱을 사용할 때 발생하는 손가락 마찰 소리를 활용합니다.
지문은 이미 휴대폰 화면 잠금 해제, 온라인 결제 승인, 접근 제어 등에 가장 일반적으로 사용되는 개인 식별 수단 중 하나입니다. 지문 정보가 유출되면 민감한 정보 도난, 경제적 손실, 나아가 국가 안보까지 위협할 수 있습니다.
논문에 따르면 "PrintListener 공격 시나리오는 광범위하고 은밀합니다. 사용자의 손가락 마찰 소리만 녹음하면 되며, 다수의 소셜 미디어 플랫폼을 활용하여 공격을 시작할 수 있습니다."
이 연구는 지문 인식 시스템이 사전 공격에 취약하다는 기존 연구를 확장한 것입니다. 일부 실제 및 합성 지문은 다수의 지문과 우연히 일치할 수 있습니다. 하지만 사용자의 지문에 대한 정보를 가지고 있다면 공격 성공률이 높아집니다.
스와이프 손가락 소리를 청취하면 공격자에게 두 가지 이점이 있습니다. 스텔스 공격이 가능하며 주류 앱과 기기 마이크를 활용할 수 있고, 개별 대상에 대한 광범위한 훈련 없이도 만연할 수 있습니다.
먼저 연구진은 9명의 참가자의 구글 픽셀 4 화면(무광 보호 필름 부착)에 대한 마찰 소리를 녹음했고, 각 마찰 소리 데이터 포인트가 고유한 지문 패턴에 해당하는 클러스터를 형성한다는 것을 발견했습니다. 이후 공격 평가를 위해 18-30세 65명의 참가자를 모집했습니다.
연구진이 직면한 과제는 0.2초에서 0.8초 사이의 극히 약한 강도인 손가락 마찰에서 중요한 정보를 추출하는 것이었습니다. 원본 오디오 녹음에는 중복 정보가 상당량 포함되어 있으며, 소리 특성은 사용자의 생리적, 행동적 특성의 영향을 받습니다.
연구진은 "손가락이 화면을 문지를 때 손가락 패드와 화면 사이의 약한 결합으로 인해 거칠기 소음이 발생합니다. 거칠기 소음 생성에는 세 가지 필수 요소가 관여합니다: 마찰(손가락과 스마트폰 화면 사이의 탄성 변형으로 진동이 증폭됨), 동역학(손가락과 화면 사이에서 진동과 파동이 전파됨), 음향학(손가락에서 휴대폰 표면으로 들리는 거칠기 소리가 방사되어 공기와 고체 매체를 통해 휴대폰 마이크로 전파됨)"이라고 설명했습니다.
그들은 스펙트럼 분석을 기반으로 한 "마찰 소리 이벤트 위치 지정 알고리즘"을 설계했습니다.
논문에 따르면 "시간 윈도우를 이동하고 다른 주파수 대역에서 오디오의 에너지 스펙트럼 밀도를 검사하여 마찰 소리 이벤트의 시작과 끝 지점을 탐지합니다."
일련의 알고리즘이 오디오 신호를 전처리하여 간섭과 노이즈를 제거하고 사전 공격에 대한 예측 정확도를 높입니다.
<<Claude에서 번역한 기사입니다.>>
백장미님의 댓글
(PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound)
https://www.ndss-symposium.org/wp-content/uploads/2024-618-paper.pdf
/Vollago
luminext님의 댓글
상당히 회의적인 수치같은데...
날씨는어때님의 댓글
대화할때 창문의 떨림을 측정해서 도청한다는 예전 뉴스를 보고 놀랐던 적이 있었는데.. 지문인식때 나는 마찰 소리라니..