백프로파게이션 기반 텍스트·그래픽 비밀번호 인증: 확률값 변환과 신경망 가중치 저장 방식

초록

본 논문은 사용자가 선택한 알파벳·숫자 비밀번호와 이미지 기반 그래픽 비밀번호를 각각 확률값으로 정규화한 뒤, 역전파(Back‑Propagation) 신경망을 학습시켜 인증에 활용한다. 서버는 사용자 ID와 비밀번호를 저장하지 않고, 학습된 신경망의 가중치만 보관함으로써 저장 공간 절감과 재현 공격 방지를 목표로 한다.

상세 분석

이 논문은 기존 해시 기반 인증 체계의 메모리 부담과 테이블 변조 위험을 신경망 가중치만 보관하는 방식으로 대체하려는 시도를 보인다. 텍스트 비밀번호는 사전 정의된 문자 집합(예: ASCII)에서 각 문자에 고유 번호를 부여하고, 이를 0‑1 사이의 확률값으로 정규화한다. 그래픽 비밀번호는 이미지의 RGB 값을 동일한 정규화 함수에 통과시켜 1‑차원 벡터로 변환한다. 변환된 입력 벡터와 사용자 ID를 입력으로, 비밀번호의 정규화 값(또는 이미지 벡터) 를 출력으로 하는 3‑계층 피드포워드 신경망을 구성하고, 역전파 알고리즘으로 가중치를 학습한다. 인증 시 사용자는 ID만을 입력하고, 신경망은 저장된 가중치를 이용해 출력값을 계산한다. 출력값이 사전에 저장된 비밀번호(또는 이미지)와 허용 오차 이하로 일치하면 인증 성공으로 판단한다.

기술적 강점으로는(1) 비밀번호 자체를 서버에 저장하지 않아 데이터베이스 탈취 시 직접적인 비밀번호 유출 위험이 감소한다는 점, (2) 확률값 기반 정규화가 입력을 연속적인 실수 공간에 매핑함으로써 사전 공격에 대한 저항성을 어느 정도 높일 수 있다는 점을 들 수 있다. 그러나 실질적인 보안 향상은 몇 가지 근본적인 한계에 의해 제한된다. 첫째, 가중치 테이블 자체가 비밀번호와 일대일 대응 관계를 내포하고 있기 때문에, 가중치를 역추적하거나 모델을 복제하면 동일한 인증 로직을 재현할 수 있다. 역전파 학습 과정에서 사용된 초기 가중치와 학습률, 에포크 수 등은 모두 공격자가 추정 가능한 파라미터이며, 충분히 많은 관찰을 통해 모델 복원 공격이 가능하다. 둘째, 정규화된 확률값은 실수형이므로 근사 오차 허용 범위가 필요하지만, 이 허용 범위가 넓어질수록 무작위 입력에 의한 오탐(False Accept) 위험이 커진다. 논문에서는 “노이즈를 도입할 수 있다”고 언급했지만, 실제 시스템 설계 시 허용 오차를 어떻게 설정하고, 오탐률을 어떻게 측정했는지에 대한 실험적 근거가 부족하다.

학습 비용 측면에서도 문제점이 두드러진다. 텍스트 비밀번호는 보통 8~12자리 정도이지만, 그래픽 비밀번호는 이미지 전체 픽셀을 입력으로 사용하므로 입력 차원이 급격히 증가한다. 논문에서는 입력 레이어를 3개의 뉴런, 은닉층을 2개, 출력층을 2개로 고정했지만, 실제 이미지 데이터를 처리하려면 수천 개의 뉴런이 필요하다. 따라서 제시된 네트워크 구조는 실용적인 이미지 인증에 적용하기엔 비현실적이며, 학습 시간과 메모리 요구량이 급증한다는 점을 간과하고 있다. 또한, 새로운 사용자가 가입할 때마다 전체 네트워크를 재학습해야 한다는 점은 확장성에 큰 제약을 만든다.

마지막으로, 그래픽 비밀번호가 “사전 공격에 강하다”는 주장도 검증이 부족하다. 이미지 자체를 해시하거나 변형된 형태로 저장하지 않으면, 공격자는 동일한 이미지 파일을 직접 전송하거나, 이미지의 작은 변형(회전, 색상 변조)만으로도 인증을 우회할 가능성이 있다. 기존 연구에서 제시된 그래픽 비밀번호의 보안성 평가는 사용성 테스트와 공격 시뮬레이션을 병행했지만, 본 논문은 이러한 실험을 전혀 제공하지 않는다.

요약하면, 본 연구는 비밀번호를 신경망 가중치만으로 대체하려는 흥미로운 아이디어를 제시했지만, 보안 모델의 정량적 분석 부족, 비현실적인 네트워크 설계, 학습 비용 및 확장성 문제, 그리고 실험 검증의 부재로 인해 실제 적용 가능성은 낮다. 향후 연구에서는(1) 가중치 자체를 암호화하거나 키 관리 체계와 결합하는 방안, (2) 이미지 입력 차원을 효율적으로 축소하는 특성 추출 기법, (3) 인증 정확도와 오탐률을 정량적으로 평가하는 실험 설계가 필요하다.