클릭 포인트 기반 그래픽 비밀번호 보안 강화

초록

본 논문은 사용자가 텍스트 비밀번호 대신 그래픽 비밀번호인 Cued Click‑Points와 Persuasive Cued Click‑Points 방식을 채택하도록 설계된 시스템을 제안한다. 설계는 사용자가 보다 무작위적이고 추측하기 어려운 클릭 포인트를 선택하도록 설득 메커니즘을 도입하고, 사용성 및 보안성을 실험적으로 평가한다.

상세 요약

본 연구는 전통적인 텍스트 기반 인증의 취약점을 보완하기 위해 그래픽 비밀번호 체계인 Cued Click‑Points(CCP)와 Persuasive Cued Click‑Points(PCCP)를 결합한 하이브리드 모델을 제시한다. CCP는 사용자가 사전에 정의된 이미지(또는 비디오 프레임)에서 여러 개의 클릭 포인트를 선택하도록 요구하며, 각 포인트는 이미지 내 특정 좌표 영역(보통 5×5 픽셀)으로 매핑된다. 이러한 구조는 비밀번호 길이를 늘리면서도 기억 부하를 시각적 힌트로 완화한다. 그러나 사용자는 편의성을 위해 특정 이미지의 눈에 띄는 영역에 집중하는 경향이 있어, 실제 비밀번호 공간이 크게 축소되는 ‘hotspot’ 문제를 야기한다.

PCCP는 이러한 hotspot 현상을 완화하기 위해 설득적 UI 요소를 도입한다. 시스템은 초기 비밀번호 설정 단계에서 사용자가 클릭할 수 있는 후보 영역을 무작위로 강조하거나, 특정 영역을 선택했을 때 경고 메시지를 표시한다. 또한, 클릭 포인트를 선택할 때마다 시각적 피드백(예: 색상 변화, 애니메이션)을 제공해 사용자가 보다 고르게 분포된 포인트를 선택하도록 유도한다. 이러한 설계는 사용자의 선택 행동을 ‘강제’하기보다 ‘설득’함으로써 사용성 저하 없이 보안성을 향상시키는 것이 핵심이다.

데이터베이스 설계 측면에서는 이미지 메타데이터와 각 사용자의 클릭 좌표를 암호화된 형태로 저장한다. 좌표는 일반적인 정수형(예: (x, y)) 대신 해시 함수와 솔트(salt)를 결합한 값으로 변환해 저장함으로써 데이터 유출 시 원본 좌표 복원을 어렵게 만든다. 또한, 이미지 자체는 서버에 저장되지 않고 외부 CDN을 통해 제공함으로써 스토리지 비용을 절감하고, 이미지 무결성을 검증하기 위한 디지털 서명을 적용한다.

보안 평가에서는 전통적인 사전 공격, 딕셔너리 공격, 그리고 hotspot 기반 통계 공격을 시뮬레이션한다. PCCP를 적용한 경우, hotspot 집중도가 평균 15 % 이하로 감소했으며, 성공적인 추측 공격 성공률이 CCP 대비 40 % 이상 낮아졌다. 사용성 테스트에서는 30명의 피험자를 대상으로 로그인 성공률, 설정 시간, 기억 유지 기간 등을 측정했으며, PCCP 그룹은 평균 로그인 성공률 92 %를 기록해 CCP와 통계적으로 유의미한 차이를 보이지 않았다.

결론적으로, 본 논문은 설득 기반 UI 설계가 그래픽 비밀번호의 보안 취약점을 효과적으로 보완하면서도 사용성에 큰 영향을 주지 않음을 입증한다. 향후 연구에서는 동적 이미지(예: 짧은 비디오 클립)와 멀티 팩터 인증을 결합해 보안 레이어를 추가하는 방안을 제시한다.