보안공학 연구실 (지도교수: 김형식, https://seclab.skku.edu)의 김은수(박사과정) 학생과 김형식 교수가 진행한 "Open Sesame! On the Security and Memorability of Verbal Passwords"논문이 컴퓨터 보안 분야에서 최우수 학술대회인 IEEE Symposium on Security and Privacy (S&P) 2025에 게재 승인되었습니다. 이번 연구는 미국 테네시 대학교(University of Tennessee)의 김두원 교수와 보안공학 연구실 졸업생인 이기호 연구원(ETRI)이 참여하여 연구를 진행하였습니다. 연구진은 두 차례의 대규모 사용자 실험을 통해 음성으로 전달하는 패스워드 (verbal password)의 보안성과 기억 용이성을 정량적으로 분석하여, 기존 텍스트 비밀번호의 한계를 극복할 수 있는 실질적이고 안전한 대안임을 입증하였습니다.

첫 번째 사용자 실험에서는 2,085명의 사용자가 자유롭게 생성한 음성 패스워드를 대상으로 장/단기 기억력 및 보안성을 분석하였습니다. 보안성 테스트에서 2천만개 이상의 Common English 문구들로 학습된 PassphraseGPT 모델을 통해 사용자가 생성한 음성 패스워드의 약 39.76%가 10억 번의 추측 시도 이내에 예측될 정도로 취약하다는 것을 밝혔습니다. 하지만 두 번째 사용자 실험(600명 대상)에서는 단어 최소 개수 제한과 금지어 목록(blocklist)을 활용한 비밀번호 생성 정책을 적용하여 음성 패스워드의 기억 용이성을 보장하면서 보안성을 현저히 개선했습니다. 사용자들의 장기 기억 실험에서 비밀번호 생성 정책을 적용한 음성 패스워드 사용자 그룹의 65.6%가 성공적으로 비밀번호를 기억하여, 기존 텍스트 비밀번호(54.11%) 대비 높은 기억 성능을 보였습니다. 또한, 비밀번호 추측공격에 의해 예측 가능한 verbal password의 비율이 텍스트 비밀번호 보다 낮아, 공격에 더 효과적으로 저항할 수 있음을 입증했습니다.

이번 연구는 키보드 입력이 불가능하거나 불편한 상황(스마트 어시스턴트, 웨어러블 기기, 차량 환경, VR/AR 환경)에서 언어 비밀번호가 텍스트 비밀번호를 효과적으로 대체할 수 있는 실용적이며 보안성 높은 대안임을 제시했다는 점에서 높은 평가를 받았습니다. 연구 발표는 2025년 5월, 미국 캘리포니아 주 샌프란시스코에서 진행될 예정입니다.

Abstract

Despite extensive research on text passwords, the security and memorability of verbal passwords—spoken rather than typed—remain underexplored. Verbal passwords hold significant potential for scenarios where keyboard input is impractical (e.g., smart speakers, wearables, vehicles) or users have motor impairments that make typing difficult. Through two large-scale user studies, we assessed the viability of verbal passwords. In our first study (N = 2,085), freely chosen verbal passwords were found to have a limited guessing space, with 39.76% cracked within 10^9 guesses. However, in our second study (n = 600), applying word count and blocklist policies for verbal password creation significantly enhanced verbal password performance, achieving better memorability and security than traditional text passwords. Specifically, 65.6% of verbal password users (under the password creation policy using minimum word counts and a blocklist) successfully recalled their passwords in long-term tests, compared to 54.11% for text passwords. Additionally, verbal passwords with enforced policies exhibited a lower crack rate (6.5%) than text passwords (10.3%). These findings highlight verbal passwords as a practical and secure alternative for contexts where text passwords are infeasible, offering strong memorability with robust resistance to guessing attacks.