1. 서론
1992년 최초의 스마트폰 등장 이후 2000년대의 대화면을 탑재한 스마트폰과 2007년부터 2019년까지 스마트폰 폼 팩터는 슬레이트 타입이 주류였으나[2] 현재 스마트폰 주요 생산 업체들은 디스플레이 신소재 개발에 따라 경쟁적으로 폼 팩터의 다변화를 꾀하고 있다[3-10]. 최근 개발 및 연구되는 디스플레이 종류는 플렉시블, 벤더블, 폴더블, 롤러블, 스트레처블[11] 등으로 현재까지 스마트폰 외형상 상당 부분을 차지하며 변형 불가능으로 여겨졌던 디스플레이 부분의 구조 변화[12] 및 스마트폰 폼 팩터 자체의 변화에 큰 영향을 주었다. 현재 사용되는 비 생체기반 스마트폰 사용자 인증기법 중 비밀정보 출력은 디스플레이 부분에 비밀정보 또는 간접 비밀정보를 표시하는 방식을, 비밀정보 입력에는 디스플레이 부분의 터치 기능을 이용한 비밀정보 입력을 사용한다[13,14]. 따라서 폼 팩터 변형의 주요 요인인 디스플레이 부분의 물리적 변형은 전용 센서를 적용한 인증기법의 경우 그 영향이 미미하다. 그러나 디스플레이 부분과 같이 폼 팩터 변형에 민감한 범용 인터페이스를 입출력 인터페이스로 사용하는 비 생체기반 사용자 인증기법은 비밀정보 입출력 방식이나 보안요소에 영향을 받을 수 있다. 현재 모바일 환경에서 많은 비중을 차지하는 인증기법은 PIN, 패턴, 지문, 음성, 얼굴, 홍채 인식이며[15] 이들 중 다수의 인증기법이 범용 인터페이스가 적용된 기법으로 폼 팩터 변형에 민감한 인터페이스를 사용할 경우 영향을 받을 수 있다. 본 연구는 이러한 범용 인터페이스 (터치스크린)을 이용하는 사용자 인증기법의 예상 가능한 보안취약점을 검토하며 이에 대한 대응방안을 제시한다.
본 논문의 구성은 다음과 같다. 2장에서 우리는 기존 폼 팩터의 터치스크린 기반 인증기법과 변형 폼 팩터의 터치스크린 기반 인증기법의 동작에 대해 비교 분석하며, 3장에서 보안 위협에 대한 취약점을 설명한다. 여기에서는 고전 보안 위협 및 사회공학 공격을 기존 인증기법과 폼 팩터별, 그리고 변형 폼팩터에 적용된 인증기법에 대응해 순서대로 서술한다. 그리고 4장에서는 현존 및 향후 예상되는 스마트폰 폼 팩터의 취약점에 대응 가능한 사용자 인증기법 방안을 하드웨어 및 소프트웨어 측면에서 제시하며 5장에서 결론을 맺는다.
2. 관련연구
2.1 폼 팩터 변화
스마트폰 폼 팩터는 Fig. 1과 같이 1980년대 브릭형[16] 휴대 전화기의 등장 이후, 1990년부터 2010년 후반까지 바형[17] 및 슬레이트형[18,19] 폼 팩터로 변하였다.
Fig. 1. Form factors. (a) bar type Siemens S25[15], (b) brix type Motorola DynaTAC 8000X[16], (c) slate type LG KE850 Prada[17] and (d) slate type Apple iphone 4s[18].
이 구조 변화는 Fig. 2와 같이 점점 큰 고정형 스크린을 내장한 스마트폰 출시의 증가[20]와 관련이 있으며 스마트폰 고정형 스크린의 크기는 현재 6~7인치급이 최대로 사용자 휴대성을 고려하자면 그 크기에 한계가 있다.
Fig. 2. Smartphone unit shipments worldwide by screen size from 2018 to 2022 (in millions)[20].
고정형 스크린이 갖는 크기 한계 극복 및 새로운 폼 팩터 적용이 가능한 플렉서블 디스플레이 소재는 2000년 초중반부터 연구되었으며 2010년 후반 상용화 이후로 현재 Fig. 3과 같이 기존 폼팩터를 벗어난 폴더블[11], 롤러블[21], 벤더블[22], 그리고 스트레처블[11] 폼 팩터에 이르기까지 다양한 스마트폰 폼 팩터가 연구 개발[23,24]되고 있다.
Fig. 3. Smartphone form factors. (a) foldable[11], (b) rollable[21], (c) bendable[22], and (d) stretchable[11].
2.2 인증기법 분류
분류 및 비교를 위해 우리는 인증기법을 크게 전용 인터페이스를 사용하는 인증기법과 범용 인터페이스를 사용하는 인증기법으로 구분하였다. 전용 인터페이스를 사용하는 인증기법으로 전용 센서를 사용하는 지문인식 기법을, 범용 인터페이스를 사용하는 인증기법으로 디스플레이 입출력을 사용하는 PIN, 패턴 인식, 그리고 내장 마이크를 통한 입력을 사용하는 음성 인식 기법으로 분류하였다.
지문 인식
지문인식은 전용 지문인식용 모듈을 통하거나 광학 인식 장비로 촬영한 이미지의 해독을 통해 얻은 정보를 가공한 값을 비밀키로 사용하는 기법으로 PIN이나 패턴 인식 기법보다 안전성이 높고 속도가 빠르다[25].
PIN
PIN(Personal Identification Number) 기법은 일반적으로 뱅킹 서비스에서 주로 사용하는 인증기법이며 4~8자리의 숫자를 비밀키로 사용하므로 기억하기 쉽고 입력이 간편하다[26].
패턴 인식
패턴 기법은 서로 떨어진 9개의 점을 연결하는 선분 조합 패턴을 비밀키로 사용하는 인증기법이며 스마트폰 잠금 해제와 같이 신속하고 편리하다[27].
음성 인식
음성 인식은 사람마다 성문의 차이가 있다는 점을 바탕으로 개발된 인증기법으로 PIN이나 패턴 인식에 비해 높은 안전성을 갖고 있으나 음성 변조에 취약하다[28].
2.3 폴더블 디스플레이용 기존 인증기법
삼성 폴더블폰의 PIN과 패턴 인식 기법
현재 폴더블 디스플레이에 적용된 인증기법의 경우 대표적으로 삼성의 폴더블폰[11]에 내장된 PIN과 패턴 인증기법이 있으며 부 디스플레이와 주 디스플레이 화면에 따라 Fig. 4와 같이 각각 표시된다. 갤럭시 Z 폴드2 기기에서 PIN 입력화면의 경우 부 디스플레이에 약 3.5 cm×5.5 cm로 표시되며 주 디스플레이에 약 4.8 cm×7 cm로 표시되어 화면 크기에 따라 PIN 입력 UI 크기도 확장되어 표시된다. 해당 기기에서 패턴 UI도 같다.
Fig. 4. PIN UI in (a) sub screen and (b) main screen of Samsung foldable smartphone[11].
패턴 인증의 경우 다음의 Fig. 5와 같이 각각 표시된다. 갤럭시 폴드 기기에서 패턴 입력화면의 경우 부 디스플레이에 약 2.5 cm×3.5 cm로 표시되며 주 디스플레이에 약 3.4 cm×4.7 cm로 표시되어 화면크기에 따라 패턴 입력 UI 크기도 확장되어 표시된다. 해당 기기에서 PIN UI도 같다.
Fig. 5. Pattern UI in (a) sub screen and (b) main screen of Samsung foldable smartphone[11].
Choi의 기법
D. Choi[1]의 연구는 폴더블 디스플레이 기기의 사용자 인증에 관한 것으로 새로운 스마트폰 폼 팩터인 폴더블 디스플레이 구조의 보안 안전성 검토와 아울러 예측되는 공격 유형에 대응하는 안전한 사용자 인증기법을 제안하였다. 제안된 기법은 Fig. 6과같이 PIN과 유사하나 키 풀의 크기를 m x n 크기로 설정하여 화면 크기 대비 자유로운 키 입력 후보군 정의가 가능하며 watch window와 포인터를 이용해 PIN을 입력하는 방식을 사용한다.
Fig. 6. UI of D. Choi[1] method.
3. 보안 위협 및 취약점 분석
보안 위협에는 기존의 대표적인 공격 유형인 무차별 대입 공격, 사전 공격의 2건과 점차 증가할 것으로 예측되는 공격 유형인 사회공학 공격인 엿보기 공격, 레코딩 공격, 스머지 공격, 그리고 열감지 공격의 4건을 선정하였으며 해당 보안 위협에 대해 폼 팩터별, 인증기법별, 그리고 현재 사용 및 제안된 인증기법별 취약점을 분석하였다.
3.1 보안 위협
무차별 대입 공격
무차별 대입 공격[29]에서 공격자는 모든 가용한 패스워드의 무작위 조합을 반복하여 공격이 성공할 때까지 시도한다. 따라서 패스워드의 길이가 짧을수록 공격 성공률이 높다.
사전 공격
무차별 개입 공격과 달리 사전에 존재하는 의미 있는 문자열의 조합을 반복하여 공격이 성공할 때까지 시도하는 유형의 공격[30]이며 이는 일반적으로 패스워드를 의미 있는 문장의 조합으로 사용한다는 점에 착안한 공격 기법이다.
엿보기 공격
공격자의 눈으로 직접 보고 획득한 정보를 토대로 공격하는 인적 오류에 기반한 사회공학 기법이다 [31]. 보안 알고리즘에 대한 공격이 아닌 사용자에 대한 공격으로 특별한 기술이 필요하지 않다.
레코딩 공격
광학 장비를 이용하여 획득하는 이미지나 영상 정보를 토대로 공격하는 인적오류에 기반한 사회공학 기법[32]으로 엿보기 공격과 유사하나 이미지나 영상을 저장하여 반복재생이 가능하므로 공격 성공률은 더 높다.
스머지 공격
손가락 유분 흔적을 추적하여 획득한 부분정보를 토대로 비밀키를 조합, 획득하는 공격[33]으로 터치스크린을 사용하는 스마트폰의 경우 이 공격에 취약하다.
열 감지 공격
스머지 공격과 같은 구조이나 손가락 체열 흔적을 추적, 복원하여 비밀키를 획득하는 공격[34]이며 터치스크린을 이용하는 스마트폰의 경우 이 공격에 취약하다.
3.2 폼 팩터 취약점 분석
다음의 Table 1은 기존 디스플레이 의존형 사용자인증기법인 PIN 및 패턴 인증기법을 적용한 각각의 폼 팩터에 대해 기존 공격 유형 및 예상되는 공격 유형의 고려 및 대응 여부를 나타낸 취약점 비교표이다.
Table 1. Security threats.
슬레이트 구조
- 슬레이트 구조는 현재 스마트폰 대부분에 적용된 구조로 무차별 대입 공격이나 사전 공격의 경우기기 폼 팩터와 연관성이 없으며 보안 알고리즘에 의해 자체 대응이 가능하므로 공격 대비 안전성이 높아 고려함으로 표기하였다.
- 엿보기 공격과 레코딩 공격의 경우 시각 및 광학 장치에 의존한 비밀키 획득이 목적이므로 기기 폼팩터에서 스크린 면적이 넓을수록 공격에 취약하다. 즉 기기의 크기 및 스크린 면적에 의해 공격 성공률이 결정되므로 공격 대비 안전성이 낮아 고려하지 않음으로 표기하였다.
- 스머지 공격과 열 감지 공격의 경우 기기 폼 팩터 중 디스플레이 면적이 넓을수록 유분, 잔열 감지를 이용한 위치 추정이 쉽고 이를 통한 비밀키 확보가 유리하므로 고려하지 않음으로 표기하였다.
폴더블 구조
- 폴더블 구조는 디스플레이 부분을 가로 또는 세로 방향으로 2분할 또는 3분할하여 디스플레이 부분을 접을 수 있게 설계된 폼 팩터로 무차별 대입 공격이나 사전 공격의 경우 슬레이트 구조와 같이 기기폼 팩터와 연관성이 없으며 보안 알고리즘에 의해 자체 대응이 가능하다.
- 엿보기 공격과 레코딩 공격의 경우 시각 및 광학 장치에 의존한 비밀키 획득이 목적이므로 화면을 접었을 때와 펼쳤을 때를 고려한다면 화면을 펼쳐서 사용할 때 슬레이트 구조 대비 취약하다.
- 스머지 공격과 열 감지 공격의 경우 화면을 접었을 때와 펼쳤을 때를 고려한다면 화면을 펼쳐서 사용할 때 유분, 잔열 감지를 이용한 위치 추정이 슬레이트 구조에 비해 쉽고 이를 통한 비밀키 확보가 유리하므로 공격에 취약하다.
롤러블 구조
- 롤러블 구조는 화면을 말아서 사용할 수 있게 설계된 폼 팩터로 무차별 대입 공격이나 사전 공격의 경우 슬레이트 구조와 같이 기기 폼 팩터와 연관성이 없으며 보안 알고리즘에 의해 자체 대응이 가능하다.
- 엿보기 공격과 레코딩 공격의 경우 시각 및 광학 장치에 의존한 비밀키 획득이 목적이므로 화면을 말았을 때와 펼쳤을 때를 고려한다면 화면을 펼쳐서 사용할 때 슬레이트 구조 대비 취약하다.
- 스머지 공격과 열 감지 공격의 경우 화면을 말았을 때와 펼쳤을 때를 고려한다면 화면을 펼쳐서 사용할 때 유분, 잔열 감지를 이용한 위치 추정이 슬레이트 구조에 비해 쉽고 이를 통한 비밀키 확보가 유리하므로 공격에 취약하다.
벤더블 구조
- 벤더블 구조는 폴더블이나 롤러블 구조의 디스플레이 면적의 확장 및 축소의 개념과는 다르다. 이 구조는 화면을 구부려서 사용할 수 있게 설계된 폼팩터로 무차별 대입 공격이나 사전 공격의 경우 슬레이트 구조와 같이 기기 폼 팩터와 연관성이 없으며 보안 알고리즘에 의해 자체 대응이 가능하다.
- 엿보기 공격과 레코딩 공격의 경우 시각 및 광학 장치에 의존한 비밀키 획득이 목적이므로 화면을 구부렸을 때와 펼쳤을 때를 고려한다면 화면을 펼쳐서 사용할 때 슬레이트 구조 대비 공격에 취약하다. 그러나 벤더블 폼 팩터 특성상 전체 스크린 면적이 슬레이트, 폴더블, 롤러블 그리고 스트레처블 구조에 비해 작다.
- 스머지 공격과 열 감지 공격의 경우 화면을 구부렸을 때와 펼쳤을 때를 고려한다면 화면을 펼쳐서 사용할 때 유분, 잔열 감지를 이용한 위치 추정이 상대적으로 용이하며 이를 통한 비밀키 확보가 유리하므로 공격에 취약하다. 그러나 벤더블 폼 팩터 특성상 전체 스크린 면적이 슬레이트, 폴더블, 롤러블 그리고 스트레처블 구조에 비해 작다.
스트레처블 구조
- 스트레처블 구조 역시 무차별 대입 공격이나 사전 공격의 경우 기기 폼 팩터와 연관성이 없으며 보안 알고리즘에 의해 자체 대응이 가능하다.
- 엿보기 공격과 레코딩 공격의 경우 시각 및 광학 장치에 의존한 비밀키 획득이 목적이므로 디스플레이 면적이 늘어날수록 공격에 취약하다. 그러나 현재 디스플레이 면적 확장 비율에 대한 구체적 자료가없으므로 취약 정도를 평가하기는 어렵다.
- 스머지 공격과 열 감지 공격의 경우 디스플레이 면적이 늘어날수록 유분, 잔열 감지를 이용한 위치추정이 쉽고 이를 통한 비밀키 확보가 유리하므로 공격에 취약하다. 그러나 현재 디스플레이 면적 확장 비율에 대한 구체적 자료가 없으므로 취약 정도를 평가하기는 어렵다.
3.3 인증기법 취약점 분석
다음의 Table 2는 지문, PIN, 패턴, 음성 인식 기법이 알고리듬 차원에서 기존의 공격 유형 및 예상되는 공격에 대한 고려 및 대응 여부를 나타내는 취약점 비교표이다.
Table 2. Security threats.
지문 인식
- 지문 인식의 경우 비밀정보 획득을 위한 전용 센서를 사용하므로 무차별 대입 및 사전 공격에 데이터 취득이 불가능하여 이론상 안전하다.
- 엿보기 공격과 레코딩 공격의 경우 해당 공격 특성상 확보 가능한 지문 데이터가 없으므로 사회공학 공격에 대해 보안상 안전하다.
- 스머지와 열 감지 공격의 경우 감지 기기의 해상력에 따른 지문 취득에 의한 공격 성공확률이 있다.
PIN
- 비밀정보 입력에 터치스크린을, 비밀정보 출력에 디스플레이 부분을 사용하는 디스플레이 의존적인 사용자 인증기법이며 비밀정보에 사용되는 정보는 지식 기반 비밀정보이므로 무차별 대입 공격이나 사전 공격에 영향을 받으나 비밀정보의 길이에 따라 공격 성공률 차이가 있다.
- 디스플레이 면적의 확대 및 축소는 사회공학 공격 모두에 대해 영향을 받는다. 화면에 표시되는 패턴 정보의 크기가 클수록 엿보기 공격에 비밀정보 유출이 쉽다. 레코딩 공격의 경우 비밀정보 획득이 엿보기 공격보다 더욱 쉬워 취약하다.
- 스머지와 열 감지 공격의 경우 스크린 잔존 유분의 흔적, 또는 잔열 감지 기기에 의해 비밀정보 역추적이 가능하므로 취약하다.
패턴 인식
- 패턴 정보 입력에 터치스크린을, 패턴 정보 출력에 디스플레이 부분을 사용하는 디스플레이 의존적인 사용자 인증기법이며 패턴 정보는 지식 기반 비밀정보이므로 무차별 대입 공격이나 사전 공격에 영향을 받는다. 그러나 패턴의 길이에 따라 공격 성공률 차이가 있다.
- 디스플레이 면적의 확대 및 축소는 사회공학 공격 모두에 대해 영향을 받는다. 화면에 표시되는 패턴 정보의 크기가 클수록 엿보기 공격에 패턴 정보 유출이 쉽다. 레코딩 공격은 엿보기 공격보다 패턴 정보 획득이 더욱 쉬워 취약하다.
- 스머지와 열 감지 공격의 경우 스크린 잔존 유분의 흔적, 또는 잔열 감지 기기에 의해 패턴 정보 역추적이 가능하며 화면에 표시되는 패턴 정보의 크기가 클수록 쉽게 유출되므로 취약하다.
음성 인식
- 음성 인식의 경우 내장 마이크와 같은 범용 인터페이스를 사용하며 지문인식과 같이 알고리듬에 의해 가공된 데이터를 비밀정보로 사용하므로 무차별 대입 및 사전 공격에 데이터 취득이 불가능하여 이론상 안전하다.
- 엿보기 공격의 경우 해당 공격 특성상 확보 가능한 성문 데이터가 없으므로 공격에 대해 보안상 안전하다. 그러나 레코딩 공격의 경우 음성 녹음을 이용한 공격에는 취약하다.
- 스머지나 열 감지 공격의 경우 감지 기기의 성문취득이 불가능하다.
3.4 기존 사용 및 제안된 기법 취약점 분석
다음의 Table 3는 기존의 폴더블 폼 팩터 스마트폰에서 사용되고 있거나 제안되었던 인증기법이 알고리듬 차원에서 기존의 공격 유형 및 예상되는 공격에 대한 고려 및 대응 여부를 나타내는 취약점 비교표이다.
Table 3. Security threats.
삼성 폴더블폰의 PIN 기법
- 무차별 대입 공격이나 사전 공격의 경우 삼성의 폴더블폰에 내장된 PIN UI는 일반적인 PIN과 같이 비밀정보 입력에 터치스크린을, 비밀정보 출력에 디스플레이 부분을 사용하는 디스플레이 의존적인 사용자 인증기법이며 주 디스플레이와 부 디스플레이 모두 동일 인터페이스를 사용한다. PIN 정보는 지식기반 비밀정보이므로 무차별 대입 공격이나 사전 공격에 영향을 받는다. 그러나 PIN 길이에 따라 공격 성공률 차이가 있다.
- 디스플레이 면적의 확대 및 축소는 사회공학 공격 모두에 대해 영향을 받는다. 화면에 표시되는 PIN 입력 UI의 크기가 클수록 엿보기 공격에 비밀정보 유출이 쉽다. 레코딩 공격의 경우 비밀정보 획득이 엿보기 공격보다 더욱 쉽다. 다음 Fig. 7은 삼성 폴더블폰의 주 디스플레이에 표시되는 PIN 입력 UI의 배치가 좌우로 바뀌는 모습을 나타낸다. 이는 기기 사용자 입력의 편의를 위해 고려된 부분으로 보안과는 무관하다. 그러나 폴더블폰을 완전히 펼쳐놓지 않은 상태에서 PIN 입력 UI 위치를 접히는 부분을 기준으로 좌우로 이동하여 엿보기 및 레코딩 공격에 대해 어느 정도 대응이 가능하다.
Fig. 7. PIN UI in main screen of samsung foldable smart- phone[11]. (a) left and (b) right position.
-스머지나 열 감지 공격의 경우 비록 Fig. 7과 같이 대응하더라도 스크린 잔존 유분의 흔적, 또는 잔열의 경우 상당 시간 표면에 잔류한다. 따라서 감지 기기에 의해 비밀정보 역추적이 가능하므로 취약하다.
삼성 폴더블폰의 패턴 인식 기법
- 무차별 대입 공격이나 사전 공격의 경우 삼성의 폴더블폰에 내장된 패턴 인식 UI는 일반적인 패턴인식과 같이 패턴 정보 입력에 터치스크린을, 패턴 정보 출력에 디스플레이 부분을 사용하는 디스플레이 의존적인 사용자 인증기법이며 주 디스플레이와 부 디스플레이 모두 동일 인터페이스를 사용한다. 패턴 정보는 지식 기반 비밀정보이므로 무차별 대입 공격이나 사전 공격에 영향을 받는다. 그러나 패턴의 길이에 따라 공격 성공률 차이가 있다.
- 디스플레이 면적의 확대 및 축소는 사회공학 공격 모두에 대해 영향을 받는다. 화면에 표시되는 패턴 입력 UI의 크기가 클수록 엿보기 공격에 비밀정보 유출이 쉽다. 레코딩 공격의 경우 패턴 정보 획득이 엿보기 공격보다 더욱 쉽다. 다음 Fig. 8은 삼성 폴더블폰의 주 디스플레이에 표시되는 패턴 입력 UI의 배치가 좌우로 바뀌는 모습을 나타낸다. 이는 기기 사용자 입력의 편의를 위해 고려된 부분으로 보안과는 무관하다. 그러나 이 경우 폴더블폰을 완전히 펼쳐놓지 않은 상태에서 패턴 입력 UI 위치를 좌우로 이동하여 엿보기 및 레코딩 공격에 대해 어느 정도 대응이 가능하다.
Fig. 8. Pattern UI in main screen of samsung foldable smartphone[11]. (a) left and (b) right position.
-스머지와 열 감지 공격의 경우 비록 Fig. 8과 같이 대응하더라도 스크린 잔존 유분의 흔적, 또는 잔열의 경우 상당 시간 표면에 잔류한다. 따라서 감지 기기에 의해 패턴 정보 역추적이 가능하므로 취약하다.
Choi의 기법
- 사회공학 공격을 고려하여 고안된 기법으로 기존 기법 대비 사회공학 공격에 안전하다. 그러나 이기 법은 폴더블 대화면 기기를 기준으로 제안되어 롤러블, 벤더블, 스트레처블 폼 팩터에 적용시 추가적인 보안성 검토가 필요하다.
- 무차별 대입 공격이나 사전 공격의 경우 PIN과 패턴 인식과 같이 비밀정보 길이를 조절하여 대응하거나 비밀정보에 숫자나 문자, 도형, 그리고 기호를 사용하여 PIN 대비 안전하다.
- 엿보기 공격이나 레코딩 공격의 경우 노출 정보의 경우의 수가 최소 2 × 2에서 최대 m × n이며 입력정보가 바로 유출되지 않아 PIN과 패턴 대비 안전하다.
- 스머지 공격이나 열 감지 공격의 경우 사용자 UI 구성이 임의로 변경되어 유분 및 잔열을 감지하더라도 비밀정보의 복원이 어렵다.
4. 대응 방안
4.1 고려사항
앞서 보인 폼 팩터별 취약점을 요약하면 현재의 슬레이트 구조에서 기존 인증기법이 예측할 수 없었던 보안상 취약점은 화면 크기의 변동과 노출되는 각도의 상시변경에 대한 부분이라고 할 수 있다. 이 부분은 특히 사회공학 공격에 취약하다. 우리는 이 부분에 우선하여 하드웨어 및 소프트웨어 관점의 대안을 제안하였으며 이는 다음의 Table 4와 같다.
Table 4. Countermeasure comparisons.
하드웨어 측면
하드웨어 측면에서 대응하는 것은 즉, 기기 폼 팩터와 직접 연관된 하드웨어를 최대한 활용하거나 새롭게 설계하여 추가하는 것이다.
a. 범용 입출력 인터페이스 의존도 하향
- 범용 인터페이스는 전용 인터페이스보다 다양한 사용성을 가지고 있어 보안상 상대적으로 취약하므로 이를 보완하는 차원에서 다른 범용 인터페이스를 이용하는 인증기법이나 전용 인터페이스를 이용하는 인증기법을 포함하는 복합 인증기법으로 설계하는 것이다. 그러나 이 방법은 인증기법의 사용성을 저해하는 요인이 될 수 있다.
b. 인증기법 전용 인터페이스 개발 및 적용
- 일례로 생체기반 인증기법인 지문인식의 경우 전용 지문인식기를 통해 데이터를 입력받아 검증하는 과정을 거친다. 이는 범용 인터페이스를 사용하는 기법보다 상대적으로 안전하다. 그러나 이와 같은 방법은 기기 규격 및 성능에 영향을 미칠 수 있으며 가격에도 영향이 있다.
c. 기기 독자 인증기법 개발 및 적용
- 현재 연구 및 출시되는 변형 폼 팩터가 적용된 스마트폰은 규격이 제각각이며 독특한 사용성을 갖는다. 따라서 디스플레이 의존적인 비 생체기반 인증기법의 규격화는 원천적으로 불가능하므로 기기 각각에 특화된 인증기법을 개발하여 적용하는 것이다. 그러나 이 방법은 다양한 규격의 스마트폰 생산을 저해하는 요인이 될 수 있으며 다양한 전용 인증기법의 난립으로 사용자의 입력 편의 저해 및 학습요구량 상승과 같은 단점이 있다.
소프트웨어 측면
소프트웨어 측면에서 대응하는 것은 즉, 하드웨어와 무관하게 알고리듬 처리를 통해 공통 요인을 분석하여 대응하는 것이다.
d. 간접 비밀코드 입력 기법 적용
- 디스플레이를 통한 입출력에 대한 간섭을 최대한 배제하기 위해 간접 비밀코드 입력 방법을 적용하는 것이다. 터치스크린을 이용하는 인증기법에서 스크린에 표시된 정보는 비밀정보와 연관된 정보들이며 이들을 직접 터치하며 인증 절차를 진행한다. 이 부분에 대해 스크린에 정보표시를 하지 않거나 최대한 배제하여 공격 가능성을 낮추는 것이다. 그러나 이 방법은 사용자와 인증 센터와의 암묵적인 협력이 사전에 필요하며 해당 절차가 인증 절차 이전에 별도로 존재한다.
e. 복합 인증기법 적용
- 하드웨어 측면에서 언급한 것과 유사하나 동일 인터페이스를 사용하는 인증기법을 복합하여 사용하는 것이 다르다. 즉, 동일 입출력 인터페이스를 사용하는 서로 다른 인증기법을 복합하여 인증을 수행하는 것이다. 이 방법은 동일 인터페이스를 사용하여 사용성이 하드웨어적 복합인증 방안보다는 높으나 사용하는 인터페이스의 보안 안정성에 크게 영향을 받는다.
f. 기기 인터페이스 특성을 고려한 인증기법 적용
- 하드웨어에 특화된 전용 인증기법을 개발하는 것과 달리, 현재 사용되는 인터페이스의 특성 분석을 통해 기기 폼 팩터에 영향을 받지 않거나 미미한 인터페이스 특성을 인증기법에 적용, 개발하는 것이다. 이 방법은 가장 효율적인 방식이라고 할 수 있으나 기기 폼 팩터의 개발 이후에 시도할 수 있다는 점에서 즉시성이 낮다고 할 수 있다.
4.2 기존 기법 대응 방안
앞의 고려사항에서 언급한 하드웨어 및 소프트웨어 측면에서 본 대응 방안을 순차적으로 기존 기법에 적용할 경우 다음과 같이 볼 수 있다.
삼성 폴더블폰의 PIN과 패턴 인식 기법
하드웨어적 방안으로써 첫째, 주 디스플레이 및부 디스플레이에 표시되는 PIN과 패턴 입력을 위한 터치스크린 입력 부분을 터치스크린 입력과 다른 입력을 함께 포함하는 입력 또는 순차적인 입력을 유도하거나 다른 인터페이스를 사용하는 인증 방식을 통합하여 이중 또는 3중 복합인증기법으로 적용하는 것이다. 이 방식은 현실적이나 인증 과정의 복잡도 향상으로 사용성을 저해할 수 있다.
둘째, PIN 및 패턴 입력 전용 입력장치를 적용하는 것이다. 이 방식은 높은 비용을 요구한다.
셋째, 폴더블 기기 특성을 고려한 전용 인증기법을 설계하고 적용하는 것이다. 예를 들어 디스플레이 부분의 접고 펴는 동작을 인증의 요소로 활용하여 특정 동작을 감지할 경우 사용자 인증이 되도록 하는 방법 등이 여기에 속한다. 이 경우 폴더블 기기에만 적용이 가능한 인증기법이 되므로 기기 대응 범용성이 낮다.
소프트웨어적 방안으로써 첫째, PIN 및 패턴 인증알고리듬을 수정하여 키 입력을 화면에 직접 하는 방식을 지양하며 간접적인 입력 수단을 통해 비밀정보와 패턴 정보를 입력하도록 한다. 이 방식은 입력지연이 발생하여 사용성을 저해하는 요인이 될 수 있으나 기존 인증 알고리듬을 최대한 보전하면서 입력 방식에 대한 수정만 필요하므로 PIN 및 패턴 인증을 사용하는 다른 폼 팩터에 적용이 쉽다.
둘째, 동일 인터페이스를 사용하는 서로 다른 인터페이스를 사용하는 것이다. 예를 들어 PIN과 패턴 인증기법은 동일 디스플레이를 통해 비밀정보가 입출력된다. 이 두 방식을 병합하여 PIN 인증 후 패턴 인증, 또는 패턴 인증 후 PIN 인증 절차를 진행하는 것이다. 이 방식은 동일 인터페이스를 사용하므로 하드웨어적 방안 대비 사용성에 개선이 있을 수 있으나 안전성은 낮다.
Choi의 기법
해당 기법은 폴더블폰을 기준으로 제안되었으며 하드웨어적 방안으로 별도 인터페이스를 사용하는 복합 인증요소를 추가하거나 소프트웨어적 방안으로 동일 인터페이스 내 별도 인증요소들 도입하여 안전성을 향상할 수 있다.
4.3 폼 팩터별 대응 방안
취약점 분석에 의하면 폼 팩터간 공통으로 화면크기의 변동과 노출되는 각도에 대한 부분이 언급되며 사회공학 공격에 취약하다. 이에 우리는 화면 요소 즉, 대화면과 화면이 어느 정도의 각도에서 보이는지를 중심으로 고려사항을 포함한 대안을 기술하였다.
폴더블 구조
현재의 폴더블 구조는 2면 또는 3면 구조의 인폴딩, 아웃폴딩 구조이며 적어도 1개의 대화면 접이식디스플레이가 내장된 형태이다. 또한, 디스플레이 화각은 완전히 접었을 때와 펼쳤을 때를 고려하면 최소 0도에서 최대 180도이며 이 각도에서 비밀정보가 어떻게 노출되는지를 고려해야 한다. 그러므로 기존의 PIN 또는 패턴 인증기법은 반드시 해당 대화면 디스플레이에 인증 UI가 노출될 시 어떻게 사용자 입력을 외부 공격, 특히 사회공학 공격으로부터 방어할 수 있는지 고려해야 한다. 4.2의 갤럭시 폴드 및 D. Choi 의 인증기법이 여기에 해당한다.
롤러블 구조
롤러블 구조는 주로 스틱형 구조에서 대화면 디스플레이를 말아놓았다 펼치는 방식으로 고안되었으며 완전히 펼쳤을 때의 대화면 디스플레이와 일부만 펼쳤을 때 부분 디스플레이를 사용하는 방식이다. 따라서 이를 이용하여 PIN 및 패턴 인증 UI를 사용할 때 발생할 수 있는 문제점에 대한 고려가 필요하다.
먼저, 하드웨어적 방안으로써 디스플레이에 표시되는 PIN과 패턴 입력을 위한 터치스크린 입력 부분을 터치스크린 입력과 다른 입력을 함께 포함하는 입력 또는 순차적인 입력을 유도하거나 다른 인터페이스를 사용하는 인증 방식을 통합하여 이중 또는 3중 복합인증기법으로 적용하는 것이다. 이 방식은 현실적이나 인증 과정의 복잡도 향상으로 사용성을 저해할 수 있다.
둘째, PIN 및 패턴 입력 전용 입력장치를 적용하는 것이다. 이 방식은 높은 비용을 요구하나 높은 보안성을 기대할 수 있다.
셋째, 롤러블 기기 특성을 고려한 전용 인증기법을 설계하고 적용하는 것이다. 예를 들어 디스플레이 부분의 말고 펴는 동작을 인증의 요소로 활용하여 일부만 펴거나 말 때와 같은 특정 동작을 감지할 경우 사용자 인증이 되도록 하는 방법 등이 여기에 속한다. 이 경우 롤러블 기기에만 적용이 가능한 인증기법이 되므로 기기 대응 범용성이 낮다.
소프트웨어적 방안으로써 첫째, PIN 및 패턴 인증알고리듬을 수정하여 키 입력을 화면에 직접 표시하는 방식을 지양하고 간접 입력 수단을 통해 비밀정보와 패턴 정보를 입력하도록 한다. 이 방식은 입력 지연이 발생하여 사용성을 저해하는 요인이 될 수 있으나 기존 인증 알고리듬을 최대한 보전하면서 입력방식에 대한 수정만 필요하므로 PIN 및 패턴 인증을 사용하는 다른 폼 팩터에 적용이 쉽다.
둘째, 동일 인터페이스를 사용하는 서로 다른 인터페이스를 사용하는 것이다. 예를 들어 PIN과 패턴 인증기법은 동일 디스플레이를 통해 비밀정보가 입출력된다. 이 두 방식을 병합하여 PIN 인증 후 패턴 인증, 또는 패턴 인증 후 PIN 인증 절차를 진행하는 것이다. 이 방식은 동일 인터페이스를 사용하므로 하드웨어적 방안 대비 사용성에 개선이 있을 수 있으나 동일 보안 취약점이 있어 안전성은 낮다.
벤더블 구조
벤더블 구조는 주로 손목에 착용하는 형태로 고안되었으며 대화면 디스플레이에 대한 고려는 없이 휴대 편의성에 중점을 두었다. 따라서 화면 노출의 각도에 대한 부분이 중점적으로 고려되어야 하며 부수적으로 착용 위치에 대한 부분도 고려요소가 될 수 있다.
먼저, 하드웨어적 방안으로써 디스플레이에 표시되는 PIN과 패턴 입력을 위한 터치스크린 입력 부분을 터치스크린 입력과 다른 입력을 함께 포함하는 입력 또는 순차적인 입력을 유도하거나 다른 인터페이스를 사용하는 인증 방식을 통합하여 이중 또는 3중 복합인증기법으로 적용하는 것이다. 그러나 화면을 터치하는 방식은 기존 PIN, 패턴 인증에서 디스플레이 부분이 완전한 평면의 형태일 때 접근 가능한 방식이며 팔찌 형태로 말려있을 경우 각도에 의해 UI가 잘 보이지 않아 입력에 큰 문제가 발생할 수 있다. 따라서 PIN 및 패턴 인증 UI가 표시되는 위치를 기기 알고리듬에 의해 자동 조정하거나 사용자에 의한 조정이 가능하도록 한다. 결과적으로 이 방식은 인증 과정의 복잡도 향상으로 사용성을 저해할 수 있다.
둘째, PIN 및 패턴 입력 전용 입력장치를 적용하는 것이다. 이 방식은 높은 비용을 요구하나 현재의 벤더블 디스플레이가 적용된 기기 구조를 고려할 때 디스플레이 부분만을 이용한 비밀정보 입출력에 제한이 있어 별도의 입출력장치가 필요할 것이다.
셋째, 벤더블 기기 특성을 고려한 전용 인증기법을 설계하고 적용하는 것이다. 예를 들어 디스플레이 부분의 완전히 펼쳐지고 말리는 동작을 인증의 요소로 활용하여 일부분이 일정 각도 이상 말리거나 펼쳐지는 동작을 감지할 경우 사용자 인증이 되도록 하는 방법 등이 여기에 속한다. 이 경우 벤더블 기기에만 적용이 가능한 인증기법이 되므로 기기 대응 범용성이 낮다.
소프트웨어적 방안으로써 첫째, PIN 및 패턴 인증알고리듬을 수정하여 키 입력을 화면에 직접 하는 방식을 지양하며 가상키보드, 포인터 같은 간접적인 입력 수단을 통해 비밀정보와 패턴 정보를 입력하도록 한다. 이 방식은 입력 지연이 발생하여 사용성을 저해하는 요인이 될 수 있으나 기존 인증 알고리듬을 최대한 보전하면서 입력 방식에 대한 수정만 필요하므로 PIN 및 패턴 인증을 사용하는 가른 폼 팩터에 적용이 쉽다. 물론 벤더블 디스플레이 특성을 고려하여 하드웨어적 첫째 방안이 선행되어야 한다.
둘째, 동일 인터페이스를 사용하는 서로 다른 인터페이스를 사용하는 것이다. 예를 들어 PIN과 패턴 인증기법은 동일 디스플레이를 통해 비밀정보가 입출력된다. 이 두 방식을 병합하여 PIN 인증 후 패턴 인증, 또는 패턴 인증 후 PIN 인증 절차를 진행하는 것이다. 이 방식 또한 벤더블 디스플레이 특성을 고려하여 하드웨어적 첫째 방안이 선행되어야 한다. 이방 식은 동일 인터페이스를 사용하므로 하드웨어적 방안 대비 입력 속도와 편의 면에서 사용성에 개선이 있을 수 있으나 안전성은 낮다.
스트레처블 구조
기초기술이 개발된 구조로써 현재 예상되는 구조는 없으나 스크린의 자유로운 물리적 확대 축소가 가능한 점을 고려할 때 반드시 UI의 확대 축소 기능이 포함되어야 하며 화각 또한 고려할 요소이다. 아직은 스마트기기용 스트레처블 디스플레이의 주 사용처에 대한 부분이 모호하며 부수적 사항으로 착용 위치에 대한 부분도 고려될 수 있다.
먼저, 하드웨어적 방안으로써 디스플레이에 표시되는 PIN과 패턴 입력을 위한 터치스크린 입력 부분을 터치스크린 입력과 다른 입력을 함께 포함하는 입력 또는 순차적인 입력을 유도하거나 다른 인터페이스를 사용하는 인증 방식을 통합하여 이중 또는 3중 복합인증기법으로 적용하는 것이다. 그러나 화면을 터치하는 방식은 기존 PIN, 패턴 인증에서 디스플레이 부분이 완전한 평면의 형태이며 감압 센서 또는 전자기 센서가 감지 가능 상태일 때 접근 가능한 방식으로 스트레처블의 경우 디스플레이 부분이 당겨져서 펼쳐져 있는 경우 또는 당겨지고 있거나 줄어들고 있는 상태에서 입력 좌표 변경으로 인해 문제가 발생할 수도 있다. 따라서 PIN 및 패턴 인증 UI가 표시되는 상황을 펼쳐져 있거나 그렇지 않은 상황으로 기기 알고리듬에 의해 자동 조정하거나 사용자에 의한 조정이 가능하도록 한다. 결과적으로 이방 식은 인증 과정의 복잡도 향상으로 사용성을 저해할 수 있다.
둘째, PIN 및 패턴 입력 전용 입력장치를 적용하는 것이다. 이 방식은 높은 비용을 요구하나 스트레처블 디스플레이가 적용된 기기 구조를 고려할 때 디스플레이 부분만을 이용한 비밀정보 입출력에 첫 번째 하드웨어적 방안에서 언급한 것과 같은 좌표설정에 대한 문제가 있을 수 있어 별도의 입출력장치가 필요할 것이다.
셋째, 스트레처블 기기의 예상되는 특성인 좌표변동의 문제를 고려한 전용 인증기법을 설계하고 적용하는 것이다. 예를 들어 디스플레이 부분의 완전히 펼쳐지고 완전히 줄어드는 동작이나 늘어나거나 줄어드는 동작을 인증의 요소로 활용하여 일부분이 일정 길이 또는 면적 이상 늘어나거나 줄어드는 동작을 감지할 경우 사용자 인증이 되도록 하는 방법 등이 여기에 속한다. 이 경우 스트레처블 기기에만 적용이 가능한 인증기법이 되므로 기기 대응 범용성이 낮다.
소프트웨어적 방안으로써 첫째, PIN 및 패턴 인증알고리듬을 수정하여 키 입력을 화면에 직접 하는 방식을 지양하며 가상키보드, 포인터 같은 간접적인 입력 수단을 통해 비밀정보와 패턴 정보를 입력하도록 한다. 이 방식은 입력 지연이 발생하여 사용성을 저해하는 요인이 될 수 있으나 기존 인증 알고리듬을 최대한 보전하면서 입력 방식에 대한 수정만 필요하므로 PIN 및 패턴 인증을 사용하는 다른 폼 팩터에 적용이 쉽다. 물론 스트레처블 디스플레이 특성을 고려하여 하드웨어적 첫째 방안이 선행되어야 한다.
둘째, 동일 인터페이스를 사용하는 서로 다른 인터페이스를 사용하는 것이다. 예를 들어 PIN과 패턴 인증기법은 동일 디스플레이를 통해 비밀정보가 입출력된다. 이 두 방식을 병합하여 PIN 인증 후 패턴 인증, 또는 패턴 인증 후 PIN 인증 절차를 진행하는 것이다. 이 방식 또한 스트레처블 디스플레이 특성을 고려하여 하드웨어적 첫째 방안이 선행되어야 한다. 이 방식은 동일 인터페이스를 사용하므로 하드웨어적 방안 대비 입력 속도와 편의 면에서 사용성에 개선이 있을 수 있으나 안전성은 낮다.
5. 결론
본 연구에서 우리는 현재 출시되고 있으며 앞으로도 지속적인 개발 및 출시가 예측되는 비정형 폼 팩터 기반 스마트폰의 보안상 취약점과 이러한 폼 팩터에서 예측 가능한 공격과 이에 대응하는 현재의 인증기법들, 인증기법의 구조적 문제, 디스플레이 의존형 사용자 인증기법의 상관관계 연구와 이에 대한 대응 방안을 구분하여 제안하였다. 기존의 정형화되었던 스마트폰 폼 팩터는 새로운 디스플레이 소재 기술의 발전과 아울러 다양한 형태로 변화 가능한 스마트폰개발이 가능하게 되었으나 이 변화는 기존의 구조를 반영한 애플리케이션 및 사용자 인증기법의 보안 안전성에 영향을 주므로 대응이 필요하다. 제안하는 방법은 하드웨어와 소프트웨어 두 가지 측면에서 고려 가능한 기본적 사항들을 제안하고 각각의 장단점을 비용과 사용성의 두 가지 면에서 분석하였다. 이들을 바탕으로 폼 팩터별 특징 및 예상되는 기기 취약점에 대해 대응 방안을 제시하고 현재 기기에 적용된 디스플레이 의존형 인증기법들과 기존 제안되었던 인증기법을 분석하여 취약점 및 개선 방안을 제시하였다. 향후 연구로써 우리는 제시된 방안을 고려한 각각의 폼 팩터별로 적용 가능한 저비용 사용자 인증기법을 제시하고 구현 및 평가함으로써 사용자 안전성과 편의성을 극대화하고자 한다.
※ This research was supported by research fund from Chosun University, 2020.
References
- D. Choi, "A Study on User Authentication Method for Foldable Screen-Based Devices." Journal of Korea Multimedia Society, Vol. 24, No. 3, pp. 440-447, 2021. https://doi.org/10.9717/KMMS.2020.24.3.440
- Form factor (mobile phones)(2016), https://infogalactic.com/info/Form_factor_(mobile_phones) (accessed June 13, 2021).
- Samsung, Development of stretchable displays that increase and decrease(2021), https://biz.chosun.com/it-science/ict/2021/06/06/B6WNIHAC3RC2RDEVMZZ44CUW4Q/ (accessed June 13, 2021).
- Counterpoint: HMD shipped 2 million Nokia smartphones in Q1, up from 1.7 million a year ago(2021), https://www.gsmarena.com/counterpoint_hmd_shipped_2_million_nokia_smartphones_in_q1_up_from_17_million_a_year_ago-news-49318.php (accessed June 13, 2021).
- Global smartphone panel unit shipments by technology and form factor from 2016 to 2022 (in millions)(2020), https://www.statista.com/statistics/880794/smartphone-panel-unitshipments-worldwide-by-technology-and-form-factor/ (accessed June 13, 2021).
- Vivo foldable phone patent shows display folding from the bottom(2021), https://www.91mobiles.com/hub/vivo-foldable-phone-patent-bottom-folding-display/ (accessed June 13, 2021).
- Oppo foldable phone: Everything you need to know(2021), https://www.techadvisor.com/news/mobile-phone/oppo-foldable-2021-3802802/ (accessed June 13, 2021).
- Introducing Mi Mix Fold, Xiaomi's First Foldable Smartphone(2021), https://blog.mi.com/en/2021/03/30/introducing-mi-mixfold-xiaomis-first-foldable-smartphone/ (accessed June 13, 2021).
- iPhone Flip: Everything we know about Apple's foldable phone plans(2021), https://www.tomsguide.com/news/iphone-flip-everything-we-know-about-apples-foldable-phone-plans (accessed June 13, 2021).
- Best foldable phone in 2021: Samsung leads the pack(2021), https://www.zdnet.com/article/best-foldable-phone/ (accessed June 13, 2021).
- From Foldable Phones to Stretchy Screens (2020), https://spectrum.ieee.org/consumer-electronics/portable-devices/from-foldable-phones-to-stretchy-screens (accessed June 13, 2021).
- E. Huitema, "The Future of Display Is Foldable," Information Display, Vol. 28, Issue 2-3, pp. 6-10, 2012. https://doi.org/10.1002/j.2637-496X.2012.tb00470.x
- W. Lee and R.B. Lee, "Multi-Sensor Authentication to Improve Smartphone Security," 2015 International Conference on Information Systems Security and Privacy, pp. 1-11, 2015.
- X. Su, Z. Wang, X. Liu, C. Choi, and D. Choi, "Study to Improve Security for IoT Smart Device Controller: Drawbacks and Countermeasures," Security and Communication Networks, Vol. 2018, ArticleID. 426934, pp. 1-14, 2018.
- How to Enable Secure Authentication in Mobile Applications(2018), https://www.infopulse.com/blog/how-to-enable-secure-authentication-in-mobile-applications/ (accessed June 13, 2021).
- DynaTAC cell phone(2021), https://www.britannica.com/technology/DynaTAC (accessed June 13, 2021).
- Simens S25(2021), https://www.gsmarena.com/siemens_s25-90.php (accessed June 13, 2021).
- LG KE8540 Prada(2021), https://www.gsmarena.com/lg_ke850_prada-1828.php (accessed June 13, 2021).
- Apple iPhone 4s(2021), https://www.gsmarena.com/apple_iphone_4s-4212.php (accessed June 13, 2021).
- Smartphone unit shipments worldwide by screen size from 2018 to 2022 (in millions) (2021), https://www.statista.com/statistics/684294/global-smartphone-shipments-by-screen-size/ (accessed June 13, 2021).
- The Future of Phone Design: Flexible Screens That Roll Up(2021), https://www.wired.com/ story/future-of-phone-design-ces-2021/ (accessed April 02, 2021).
- Samsung bendable smartphone that you can wear as a watch(2019), https://en.letsgodigital.org/smartphones/samsung-bendable-smartphone/ (accessed April 02, 2021).
- S. Nam, "Flexible Displat R&D Trend," News & Information for Chemical Engineers, Vol. 37, No. 4, 2019.
- J. Cho, S. Han, and S. Jeon, "The Direction of Display Form Factor Innovation," LG Economic Research Institute, 2017.
- N.L. Clarke, S.M. Furnell, P.M. Rodwell, and P.L. Reynolds, "Acceptance of Subscriber Authentication Methods for Mobile Telephony Devices," Computers&Security, Vol. 21, No. 3, pp. 220-228, 2002. https://doi.org/10.1016/S0167-4048(02)00304-8
- J. Bonneau, S. Preibusch, and R. Anderson, "A Birthday Present Every Eleven Wallets? The Security of Customer-Chosen Banking PINs," Financial Cryptography (LNCS), pp. 25-40, Springer, New York, NY, USA, 2012.
- M. Shahzad, A. X. Liu, and A. Samuel, "Secure Unlocking of Mobile Touch Screen Devices by Simple Gestures: You Can See It But You Can Not Do It," Proceeding of the 19th Annual International Conference on Mobile Computing & Networking, pp. 39, 2013.
- A. Das, O. K.Manyam, M. Tapaswi, and V. Taranalli, "Multilingual Spoken-Password Based User Authentication in Emerging Economies Using Cellular Phone Networks," Proceedings of the IEEE Workshop on Spoken Language Technology (SLT '08), pp. 5-8, IEEE, 2008.
- I. Kim, "Keypad against Brute Force Attacks on Smartphones," IET Information Security, Vol. 6, No. 2, pp. 71-76, 2012. https://doi.org/10.1049/iet-ifs.2010.0212
- A.K. Kyaw, F. Sioquim, and J. Joseph, "Dictionary Attack on Wordpress: Security and Forensic Analysis," Proceedings of the 2nd International Conference on Information Security and Cyber Forensics (InfoSec '15), pp. 158-164, 2015.
- E. Miluzzo, A. Varshavsky, S. Balakrishnan, and R.R. Choudhury, "TapPrints: Your Finger Taps Have Fingerprints," Proceedings of the 10th International Conference on Mobile Systems, Applications, and Services, pp. 323- 336, 2012.
- T. Takada, "Fake Pointer: An Authentication Scheme for Improving Security against Peeping Attacks using Video Cameras," Proceeding of International Conference on Mobile Ubiquitous Computing, Systems, Services and Technologies, pp. 395-400, 2008.
- A.J. Aviv, K. Gibson, E. Mossop, M. Blaze, and J.M. Smith, "Smudge Attacks on Smartphone Touch Screens," Proceeding of USENIX Conference on Offensive Technologies, pp. 1-7, 2010.
- Y. Abdelrahman, M. Khamis, S. Schneegass, and F. Alt, "Stay Cool! Understanding Thermal Attacks on Mobile-based User Authentication," Proceedings of the 2017 CHI Conference on Human Factors in Computing Systems, pp. 3751-3763, 2017.