키보드 타이핑 행동으로 탈취 계정 차단 위험 기반 MFA를 넘어

초록

본 논문은 위험 기반 다중 인증에 행동 분석을 결합해, 탈취된 사용자 자격증명만으로는 시스템에 접근할 수 없도록 하는 방안을 제시한다. 타이핑 동역학(keystroke dynamics)을 활용해 사용자를 실시간 프로파일링하고, 정규 사용자의 타이핑 패턴과 일치하지 않을 경우 접근을 차단한다. 실험에서는 정당 사용자와 동일한 자격증명을 가진 공격자 10명을 모두 차단했으며, 오탐률이 0%임을 확인했다.

상세 분석

이 연구는 기존 위험 기반 MFA(Risk‑Based Multi‑Factor Authentication)의 한계를 보완하기 위해 행동 기반 인증을 추가한다는 점에서 의미가 크다. 위험 기반 MFA는 로그인 위치, IP 주소, 디바이스 지문 등 환경적 요인을 평가하지만, 공격자가 VPN이나 프록시를 이용해 이러한 요인을 위조할 경우 방어가 무력화된다. 논문은 이러한 취약점을 타이핑 동역학, 즉 키 입력 간격, 키 누름·뗌 시간, 연속 키 전이 패턴 등을 정량화한 특징 벡터로 보완한다.

데이터 수집 단계에서는 30명의 정상 사용자를 대상으로 2주간 일상적인 업무 환경에서 키보드 이벤트를 기록하였다. 각 세션은 최소 2000키 입력을 포함했으며, 타이핑 속도, 키다운·키업 간격, 키 조합 전이 확률 등 45개의 통계적 특징을 추출하였다. 이후 이 특징들을 정규화하고, 이상치 탐지를 위해 One‑Class SVM과 Isolation Forest를 혼합한 하이브리드 모델을 학습시켰다. 모델은 정상 사용자 프로파일을 학습한 뒤, 새로운 로그인 시도에 대해 ‘정상’ 혹은 ‘비정상’ 점수를 산출한다.

실험에서는 정상 사용자의 실제 자격증명과 동일한 크리덴셜을 부여받은 10명의 공격자를 모집하였다. 공격자는 사전에 제공된 사용자 ID와 비밀번호만을 사용했으며, 키보드 입력은 전적으로 자신의 타이핑 습관에 따라 이루어졌다. 결과는 모든 공격 시도가 비정상 점수(임계값 초과)를 받아 차단되었으며, 정상 사용자는 99.8%의 인증 성공률을 보였다. 특히, 오탐률(False Positive Rate)이 0%에 수렴했음은 ‘zero‑tolerance’ 정책을 구현하는 데 성공했음을 의미한다.

기술적 관점에서 주목할 점은 다음과 같다. 첫째, 타이핑 동역학은 사용자가 인식하기 어려운 미세한 행동 패턴을 기반으로 하므로, 사회공학적 공격이나 피싱을 통한 크리덴셜 탈취에 강인하다. 둘째, 모델이 One‑Class 기반이기에 신규 사용자를 위한 초기 학습 비용이 낮으며, 기존 사용자 데이터가 지속적으로 업데이트될 경우 적응형 보안이 가능하다. 셋째, 시스템은 MFA 흐름에 비동기적으로 삽입될 수 있어, 사용자 경험(UX) 저하 없이 보안을 강화한다. 그러나 한계도 존재한다. 타이핑 습관이 급격히 변하는 경우(예: 손목 부상, 새로운 키보드 사용) 오탐 위험이 증가할 수 있으며, 모바일 터치 입력에 대한 확장성은 아직 검증되지 않았다. 또한, 데이터 수집 과정에서 개인정보 보호와 GDPR 등 규제 준수가 필수적이다.

전반적으로 이 논문은 행동 기반 인증을 위험 기반 MFA와 결합함으로써, ‘누구인가’(who you are)와 ‘무엇을 하는가’(what you do)를 동시에 검증하는 다중 방어 체계를 제시한다. 이는 향후 기업 및 클라우드 서비스에서 크리덴셜 유출 위협에 대응하는 실용적인 방안으로 채택될 가능성을 높인다.