2012. 3. 23. 11:21
패스워드를 불필요하게 만드는 새로운 기술 보안 관련2012. 3. 23. 11:21
반응형
책상에 앉아서 사용자 이름을 입력하고 패스워드를 입력하지 않고
바로 필요한 작업을 수행할 수 있을까? 미국 국방성 소속 연구진은 이를 현실화시키고 있는데, 사용자가 타이핑하는 방법만으로
사용자를 인식할 수 있도록 하는 새로운 소프트웨어를 개발하여 선보인 것이다.
이번 Darpa 기관의 연구목적은 군사적 사용을 위하여 혁명적이면서도 높은 이익을 가져다 줄 수 있는 연구로 평가된다.
기존에 사용되고 있는 "6tFcVbNh^TfCvBn"과 같은 키워드 설정방식은 국방성의 "Strong" 키워드 설정에 대한 정의와도 부합하지만, Darpa의 프로그램 매니저인 Richard Guidorizzi는 기존의 패스워드 설정방식이 사용자 요구사항에 부합하지 않는다는 것이 가장 큰 문제라고 지적하면서, 사용자들의 개성과 성격에 부합하지 못하는 방향가운데 보안성만을 강조함으로써, 사용자 친화적인 패스워드 설정이 이루어지지 못하고 있음을 언급한다.
Richard Guidorizzi 개발자는 이와 관련된 코멘트를 중심으로 "패스워드를 넘어서"라는 제목으로 연구 자료를 미국 국방성 심포지엄에서 2011년 11월 발표하였다. 패스워드를 관리할만한 수준으로 만들기 위하여 사용자의 사용 패턴을 참조하는 것이 중요하다고 지적하면서, "Jane123"의 다양한 변형 버전으로 손으로 쓰인 다섯 개의 패스워드를 선보였지만, 너무 쉽게 해독(크랙킹)될 수 있음이 문제점이라고 제시한다.
Guidorizzi 개발자는 콘솔기에 사용자가 앉아있는 방향에 대한 움직임을 나타내면서, 사용자들을 인식하고, 사용자들의 작업 시작을 관찰하면서, 해당 인증작업이 배경에서 발생하게 만들고, 사용자에게 비가시적으로 만들면서, 중단 없이 사용자의 작업을 수행하도록 만드는 방법 개발에 주안점을 두었다.
지문이나 홍채 스캐너와 같은 바이오매트릭 센서가 사용되지 않았고, 대신 개별 사용자의 구분된 행동특성에만 기반을 두고 있는 기술 개발을 추진했고, 이를 "인지지문;cognitive fingerprint"이라는 명칭으로 개발하였다. 학계 전문가들도 마찬가지로 사용자들의 컴퓨터 행동을 통하여 사용자의 ID를 인지할 수 있도록 하는 다양한 접근방법을 개발하고 있는 와중에 있다.
카네기 멜론 대학 컴퓨터 공학과의 연구교수인 Roy Maxion은 사용자가 특정키에 머물러 있는 시간 길이나 특정키에 다른 키로 이동하는 시간들을 고려한 "키 스트로크 역동성"에 대한 연구를 발표하고 있는데, 사용자들이 많은 시간동안 여러 움직임을 수행하게 되는데, 세부적인 사고가 아닌 모터 제어에 의하여 이루어진다고 언급하면서, 키스로크 역동성을 모방하는 것이 신경생리학 관점에서 있을 법하지 않을 수도 있는데 이를 성공적으로 수행하였다고 설명한다.
연구진은 이에 대한 샘플을 제시하면서, 컴퓨터 사용자들은 평균 100 밀리세컨드 동안 키에 머무르거나 이동한다고 제시하고 있는데, 특정 사기꾼이 평균 키보드 속도보다 다소 빠른 속도로 누군가를 모방한다고 간주하여, 해당 스푸퍼는 기존보다 약 10밀리 세컨드도 정도 키보드 타이핑 속도가 줄어들었음을 발견하고 의심스러운 행동이 나타났음을 제시하고 있다. 일반적인 눈 깜박임이 275 밀리세컨드인 것임을 고려할 때, 다소 현실적이지 못할 수도 있다.
이와 더불어, 연구진은 사용자의 감정상태가 타이핑 리듬에도 영향을 미칠 수 있다고 증거들을 제시하는데, 사용자들이 서툴더라도 친숙한 음악을 접하는 것과 마찬가지로, 해당 소프트웨어가 누군가의 "핵심 리듬"을 구분하여 감정이나 피로 등의 조건과 상관없이 인식이 가능하도록 만드는 것이다. 이와 같은 핵심 리듬을 인식하는 것이 아직 실험적으로 증명된 부분은 아닌 것으로 전해진다.
Pace University 대학의 컴퓨터공학과 교수인 Charles C. Tappert도 키 스트로크 바이오매트릭에 대한 연구를 수행하여 실험참가자들로 하여금 온라인 테스트에 대한 질문에 답을 하게 될 때의 타이핑 방법을 통하여 사용자를 인식할 수 있는 방법을 증명하였다. 본 연구팀에서는 키보드 압력에 대한 구분되는 패턴들을 분석할 수 있는 소프트웨어를 개발하여 선보였는데, 거의 99.5 퍼센트의 정확성으로 테스트 참가자들을 구분할 수 있었다고 말한다.
Darpa에서 고려하고 있는 상황은 시스템으로 하여금 보다 신속하게 사용자를 인지하도록 만들어 수백 개의 키 두드림에 대한 데이터를 수집하지 않고도 이를 즉시 수행하도록 만드는 것이다. 내부 네트워크상의 불법 침입자의 경우 감추기 힘든 불규칙성을 보이게 되고, 연구팀이 개발한 소프트웨어는 이를 신속히 탐지할 수 있는 것으로 전해진다.
콜롬비아 대학의 컴퓨터 공학과 교수인 Salvatore J. Stolfo 교수의 연구팀은 이와 같은 소프트웨어 개발은 침입자를 식별할 수 있는 단순방법들로 연결되고, 컴퓨터에 대한 유인 도큐먼트를 위치하도록 만들 수 있음을 언급하는데, 예를 들어 사용자가 PC상에 CreditCards.doc과 같은 파일명으로 의도적으로 도큐먼트를 저장하게 하고, 이를 통하여 침입자를 유인할 수 있도록 만들 수 있는 것이다.
이와 같은 유인파일이 침입자에 의하여 열리게 되면, 시스템 소프트웨어는 사전에 계획된 검색 패턴에 부합하는 방법으로 파일 검색 수행여부를 체크할 수 있고, 경보를 제공하고, 사용자에게 신원확인 요구를 수행할 수 있다. 연구팀에서는 이와 같은 프로세스를 통하여 사용자가 신용카드 회사의 사기탐지 부서로부터의 전화를 받을 때의 주기적인 경험들을 비교하는 작업 또한 수행한 것으로 전해진다.
사용자 행동에 대한 지속적인 모니터링은 Darpa의 요구사항중 가장 중요한 것으로 현재 사용하고 있는 패스워드 기반의 시스템 대신에 키보드를 통하여 사용자를 인지하도록 만드는 방법이기 때문에 전문가들의 관심을 받고 있는 것이다. 카네기 멜론 대학의 Maxion 교수가 수행한 연구에서는 단지 몇 건의 키 두드림만으로 필요한 인증을 수행할 수 있다고 말하는데, 실험 참가자들로 하여금 다른 사용자의 키 두드림을 모방하도록 한 경우는 성공하지 못했다고 말하고 있다. Maxion 교수는 사용자 인증에 대한 다른 유형의 행동 바이오매트릭 방법을 수행하고 있는데, 바로 마우스 움직임을 통한 것이다. 모든 사용자들은 각각 커서를 움직이거나 스크린 상에서 이동할 때, 고유한 마우스 사용방법을 가지고 있고, 이를 통한 인증이 가능하다는 것이다. 이와 같은 패스워드를 불필요하게 만드는 보안 시스템은 사용자의 필요성에 부합하면서, 새로운 발전전기를 만들 수 있을 것으로 기대된다.
이번 Darpa 기관의 연구목적은 군사적 사용을 위하여 혁명적이면서도 높은 이익을 가져다 줄 수 있는 연구로 평가된다.
기존에 사용되고 있는 "6tFcVbNh^TfCvBn"과 같은 키워드 설정방식은 국방성의 "Strong" 키워드 설정에 대한 정의와도 부합하지만, Darpa의 프로그램 매니저인 Richard Guidorizzi는 기존의 패스워드 설정방식이 사용자 요구사항에 부합하지 않는다는 것이 가장 큰 문제라고 지적하면서, 사용자들의 개성과 성격에 부합하지 못하는 방향가운데 보안성만을 강조함으로써, 사용자 친화적인 패스워드 설정이 이루어지지 못하고 있음을 언급한다.
Richard Guidorizzi 개발자는 이와 관련된 코멘트를 중심으로 "패스워드를 넘어서"라는 제목으로 연구 자료를 미국 국방성 심포지엄에서 2011년 11월 발표하였다. 패스워드를 관리할만한 수준으로 만들기 위하여 사용자의 사용 패턴을 참조하는 것이 중요하다고 지적하면서, "Jane123"의 다양한 변형 버전으로 손으로 쓰인 다섯 개의 패스워드를 선보였지만, 너무 쉽게 해독(크랙킹)될 수 있음이 문제점이라고 제시한다.
Guidorizzi 개발자는 콘솔기에 사용자가 앉아있는 방향에 대한 움직임을 나타내면서, 사용자들을 인식하고, 사용자들의 작업 시작을 관찰하면서, 해당 인증작업이 배경에서 발생하게 만들고, 사용자에게 비가시적으로 만들면서, 중단 없이 사용자의 작업을 수행하도록 만드는 방법 개발에 주안점을 두었다.
지문이나 홍채 스캐너와 같은 바이오매트릭 센서가 사용되지 않았고, 대신 개별 사용자의 구분된 행동특성에만 기반을 두고 있는 기술 개발을 추진했고, 이를 "인지지문;cognitive fingerprint"이라는 명칭으로 개발하였다. 학계 전문가들도 마찬가지로 사용자들의 컴퓨터 행동을 통하여 사용자의 ID를 인지할 수 있도록 하는 다양한 접근방법을 개발하고 있는 와중에 있다.
카네기 멜론 대학 컴퓨터 공학과의 연구교수인 Roy Maxion은 사용자가 특정키에 머물러 있는 시간 길이나 특정키에 다른 키로 이동하는 시간들을 고려한 "키 스트로크 역동성"에 대한 연구를 발표하고 있는데, 사용자들이 많은 시간동안 여러 움직임을 수행하게 되는데, 세부적인 사고가 아닌 모터 제어에 의하여 이루어진다고 언급하면서, 키스로크 역동성을 모방하는 것이 신경생리학 관점에서 있을 법하지 않을 수도 있는데 이를 성공적으로 수행하였다고 설명한다.
연구진은 이에 대한 샘플을 제시하면서, 컴퓨터 사용자들은 평균 100 밀리세컨드 동안 키에 머무르거나 이동한다고 제시하고 있는데, 특정 사기꾼이 평균 키보드 속도보다 다소 빠른 속도로 누군가를 모방한다고 간주하여, 해당 스푸퍼는 기존보다 약 10밀리 세컨드도 정도 키보드 타이핑 속도가 줄어들었음을 발견하고 의심스러운 행동이 나타났음을 제시하고 있다. 일반적인 눈 깜박임이 275 밀리세컨드인 것임을 고려할 때, 다소 현실적이지 못할 수도 있다.
이와 더불어, 연구진은 사용자의 감정상태가 타이핑 리듬에도 영향을 미칠 수 있다고 증거들을 제시하는데, 사용자들이 서툴더라도 친숙한 음악을 접하는 것과 마찬가지로, 해당 소프트웨어가 누군가의 "핵심 리듬"을 구분하여 감정이나 피로 등의 조건과 상관없이 인식이 가능하도록 만드는 것이다. 이와 같은 핵심 리듬을 인식하는 것이 아직 실험적으로 증명된 부분은 아닌 것으로 전해진다.
Pace University 대학의 컴퓨터공학과 교수인 Charles C. Tappert도 키 스트로크 바이오매트릭에 대한 연구를 수행하여 실험참가자들로 하여금 온라인 테스트에 대한 질문에 답을 하게 될 때의 타이핑 방법을 통하여 사용자를 인식할 수 있는 방법을 증명하였다. 본 연구팀에서는 키보드 압력에 대한 구분되는 패턴들을 분석할 수 있는 소프트웨어를 개발하여 선보였는데, 거의 99.5 퍼센트의 정확성으로 테스트 참가자들을 구분할 수 있었다고 말한다.
Darpa에서 고려하고 있는 상황은 시스템으로 하여금 보다 신속하게 사용자를 인지하도록 만들어 수백 개의 키 두드림에 대한 데이터를 수집하지 않고도 이를 즉시 수행하도록 만드는 것이다. 내부 네트워크상의 불법 침입자의 경우 감추기 힘든 불규칙성을 보이게 되고, 연구팀이 개발한 소프트웨어는 이를 신속히 탐지할 수 있는 것으로 전해진다.
콜롬비아 대학의 컴퓨터 공학과 교수인 Salvatore J. Stolfo 교수의 연구팀은 이와 같은 소프트웨어 개발은 침입자를 식별할 수 있는 단순방법들로 연결되고, 컴퓨터에 대한 유인 도큐먼트를 위치하도록 만들 수 있음을 언급하는데, 예를 들어 사용자가 PC상에 CreditCards.doc과 같은 파일명으로 의도적으로 도큐먼트를 저장하게 하고, 이를 통하여 침입자를 유인할 수 있도록 만들 수 있는 것이다.
이와 같은 유인파일이 침입자에 의하여 열리게 되면, 시스템 소프트웨어는 사전에 계획된 검색 패턴에 부합하는 방법으로 파일 검색 수행여부를 체크할 수 있고, 경보를 제공하고, 사용자에게 신원확인 요구를 수행할 수 있다. 연구팀에서는 이와 같은 프로세스를 통하여 사용자가 신용카드 회사의 사기탐지 부서로부터의 전화를 받을 때의 주기적인 경험들을 비교하는 작업 또한 수행한 것으로 전해진다.
사용자 행동에 대한 지속적인 모니터링은 Darpa의 요구사항중 가장 중요한 것으로 현재 사용하고 있는 패스워드 기반의 시스템 대신에 키보드를 통하여 사용자를 인지하도록 만드는 방법이기 때문에 전문가들의 관심을 받고 있는 것이다. 카네기 멜론 대학의 Maxion 교수가 수행한 연구에서는 단지 몇 건의 키 두드림만으로 필요한 인증을 수행할 수 있다고 말하는데, 실험 참가자들로 하여금 다른 사용자의 키 두드림을 모방하도록 한 경우는 성공하지 못했다고 말하고 있다. Maxion 교수는 사용자 인증에 대한 다른 유형의 행동 바이오매트릭 방법을 수행하고 있는데, 바로 마우스 움직임을 통한 것이다. 모든 사용자들은 각각 커서를 움직이거나 스크린 상에서 이동할 때, 고유한 마우스 사용방법을 가지고 있고, 이를 통한 인증이 가능하다는 것이다. 이와 같은 패스워드를 불필요하게 만드는 보안 시스템은 사용자의 필요성에 부합하면서, 새로운 발전전기를 만들 수 있을 것으로 기대된다.
반응형
