한 보안업체가 모자이크한 텍스트를 원상복구하는 기술을 공개했다. 영상과 사진에서 실명, 차량 번호판, 신용카드 번호 같이 민감한 정보를 숨기기 위해 해당 영역을 픽셀화해 모자이크 하는 경우가 많은데, 이런 방식이 전혀 안전하지 않다는 사실을 경고하기 위해서다.
사이버보안업체 비숍폭스는 최근 블로그에서 자체 개발한 툴 '언리댁트(Unredacte)'를 이용해 픽셀화된 이미지에서 비교적 쉽고 정확하게 텍스트를 재구성하는 데 성공했다고 밝혔다.
블로그에 따르면 비숍폭스는 보안기술 연구소인 점프섹이 제시한 텍스트 복구 과제에 도전하기 위해 언리댁트를 만들었다. 점프섹은 현재 널리 알려진 텍스트 복구 툴인 디픽스(Depix)가 특정 조건을 벗어난 환경에서는 잘 작동하지 않는다고 지적하며, 이 같은 과제를 공개했다. 공격자가 디픽스나 그 외에 다른 기술을 이용해 픽셀화된 민감한 텍스트를 복구할 가능성을 점검하는 게 과제의 목적이다.
디픽스는 픽셀을 텍스트로 복구하기 위해, 특정 픽셀 블록이 생성될 수 있는 순열을 찾아낸다. 공격자에게 일반적인 텍스트가 일부 함께 제공되면 그 정보를 바탕으로, 무차별 대입해 픽셀화된 텍스트의 숨겨진 정보를 예측하는 방식이다. 따라서 픽셀 크기를 포함해 다양한 변수가 존재하는 현실 세계에서는 잘 작동하지 않는다는 게 점프섹의 지적이다.
비숍폭스가 만든 언리댁트는 디픽스와 전혀 다른 아이디어로 설계됐다. 언리댁트는 김프나 포토삽 같은 이미지 편집툴들이 픽셀 이미지를 생성할 때 널리 쓰이는 '이미지 번짐 알고리즘'을 역이용했다. 이미지 편집툴이 이미지를 픽셀화할 때 블록을 나누고, 각 블록에 걸쳐 이미지 정보를 번지게 만든다는 점을 이용했다.
언리댁트의 작동 방식도 간단하다. 먼저 픽셀 이미지를 블록으로 나눈다. 그다음 픽셀화된 이미지에서 특정 블록의 색이, 원본 이미지에서 동일 블록의 평균 색과 같다고 설정하고 원본 이미지를 찾는 식이다.
관련기사
- 구글, 2021년 보안 취약점 현상금 총 104억 원 지급2022.02.16
- 정부, 25년까지 AI 기반 일류 보안기업 60개 키운다2022.02.14
- MS·구글, Log4j 등 오픈소스 보안개선 앞장2022.02.11
- 정부 "일류 보안기업 키운다"...올해 2100억 집중투입2022.02.10
비숍폭스는 언리댁트 기술을 이용해 점프섹이 제시한 픽셀 이미지에서 텍스트를 복구하는 데 성공했다. 이 과정은 영상 시연으로도 공개하고, 언리댁트 코드는 소스코드 저장소 깃허브에 공개했다.
비숍폭스의 댄 페트로 연구원은 이번 실험을 통해 "(민감 정보를 숨기기 위한 방법으로) 픽셀화가 왜 나쁘고, 안전하지 않으며, 중요한 데이터가 유출되는 확실한 방법인지 보여드줬다"면서 "결론은 텍스트를 숨기려면 전체 텍스트를 덮는 검은 막대를 사용해야 한다"고 강조했다.
