더 안전할 것 같은 생체인식 보안 오류 잇따라...왜?

"비싼 장비와 노력 없이 우회 가능한 것이 큰 문제"

홈&모바일입력 :2019/10/22 13:41    수정: 2019/10/22 13:41

권봉석 기자 기자 페이지 구독 기자의 다른기사 보기

삼성전자 갤럭시S10·갤럭시노트10에 탑재된 초음파 지문인식 센서와 구글 픽셀4에 새로 도입된 페이스 언락 등 스마트폰에 탑재된 생체인증 기능이 쉽게 무력화된다는 사실이 드러나며 개인정보 침해 등 우려를 낳고 있다.

스마트폰에 탑재된 생체인식 기능이 무력화된 사례는 이번이 처음이 아니다. 터치ID, 홍채인식, 페이스ID 등 여러 제조사가 내세운 기술 역시 인쇄한 지문이나 3D 프린터 모형, 인쇄한 홍채 등에 뚫린 적이 있다.

삼성전자 갤럭시노트10과 갤럭시S10에 탑재된 초음파 지문인식 센서. (사진=지디넷코리아)

그러나 최근 문제가 된 두 사례는 특수하거나 비싼 장비가 없어도 쉽게 무력화된다는 것이 가장 큰 문제다. 초음파 지문인식 센서는 실리콘 케이스에 뚫렸고, 페이스 언락 기능은 눈을 감은 상태에서도 잠금이 풀렸다.

■ 인쇄한 지문에 뚫린 터치ID

애플은 2013년 아이폰5S부터 정전식 지문센서를 이용한 생체인증 방식인 터치ID를 도입했다. 손가락 아래의 진피층 주름을 고해상도로 스캔해 프로세서 별도 영역에 저장한 다음 매번 이를 대조해 본인 확인을 거치는 방식이다.

카오스 컴퓨터 클럽은 스캔한 지문으로 터치ID 인증을 우회했다. (사진=애플)

2013년 독일 해커 모임인 카오스 컴퓨터 클럽은 이 터치ID를 우회하는 방법을 공개했다. 먼저 아이폰에 등록한 지문을 2,400dpi 고해상도로 스캔한 다음 이를 다시 투명한 시트에 레이저프린터로 인쇄하고, 라텍스 용액이나 나무용 접착제를 부어 지문을 떠냈다.이렇게 떠낸 가짜 지문을 손가락 위에 올린 다음 터치ID 센서에 가져가면 잠금이 풀린다. 그러나 이 방법은 스마트폰 주인의 완전한 지문을 깨끗하게 채취해야 한다는 전제조건이 있다.

■ 컬러 레이저 프린터에 뚫린 홍채인식

카오스 컴퓨터 클럽은 적외선 촬영한 홍채로 갤럭시S8의 홍채인식 인증을 우회했다. (사진=CCC)

삼성전자는 2017년 갤럭시S8에 새로운 생체인증 수단인 홍채인식을 도입했다. 화면 위에 탑재된 홍채 인식 스캐너가 하나의 홍채당 최대 200개의 식별 정보를 얻고 이를 이용해 본인 인증을 진행한다.그러나 독일 카오스 컴퓨터 클럽은 갤럭시S8이 출시된지 두 달만인 2017년 5월 이를 우회하는 데 성공했다. 여기에는 소니 사이버샷 카메라와 콘택트 렌즈, 컬러 레이저 프린터가 동원됐다.이들은 먼저 적외선을 이용한 야간 촬영 기능을 갖춘 사이버샷 카메라로 사람 얼굴을 촬영한 다음 여기에서 홍채만 추출했다. 그 다음 홍채를 컬러 레이저 프린터로 출력하고, 콘택트 렌즈에 올린 다음 센서에 가져가면 잠금이 풀린다.

단 이 방법을 이용하려면 나이트샷 기능을 갖춘 사이버샷 카메라, 혹은 적외선 필터를 제거한 카메라가 있어야 한다. 또 사람의 얼굴을 홍채가 보이도록 촬영해야 한다는 전제조건이 있다.

■ 3D 프린터로 인쇄한 얼굴에 뚫린 페이스ID

애플은 2017년 아이폰X에 적외선 카메라로 얼굴 윤곽을 인식하는 페이스ID를 탑재했다. 당시 애플은 "페이스ID는 이용자가 화면을 볼 때만 잠금이 풀리며 사진이나 가면을 이용해서 잠금을 해제할 수 없다"고 밝혔다.

비카브는 돌가루로 인쇄한 얼굴 모형과 인쇄한 눈동자로 페이스ID를 우회했다. (사진=비카브)

베트남 보안업체 비카브(Bkav)는 아이폰X 출시 두 달만인 2017년 11월 공식 블로그를 통해 페이스ID를 무력화 하는데 성공했다고 밝혔다.

비카브는 먼저 아이폰에 진짜 사람 얼굴을 등록하고 이 얼굴을 본따 3D 프린터로 얼굴 모양을 인쇄했다. 이 모형은 돌가루로 만들어졌고 재료비만 200달러(약 23만원)나 한다. 그 다음 모형 위에 적외선 카메라로 찍은 눈동자를 인쇄해 붙였다.

제작 과정에는 총 10시간이 걸렸지만 이들이 만든 얼굴 모형은 페이스ID에 정상적으로 인식됐다. 이 방법 역시 3D 프린터와 적외선 촬영 가능 카메라가 필요하다는 점에서 쉽게 시도할 수 없다.

■ 삼성전자·구글 "업데이트로 해결 가능"

초음파 지문인식 센서는 현재 실리콘 케이스로 쉽게 무력화된다. (사진=삼성전자)

반면 이번에 갤럭시S10과 갤럭시노트10에서 발생한 지문인식 문제는 과거 사례와 결을 달리한다. 적외선 카메라와 3D 프린터 등 비싸거나 쉽게 구할 수 없는 장비가 아니라 불과 몇 천원짜리 실리콘 케이스만 화면 위에 올리면 간단히 통과하기 때문이다.

구글 픽셀4에 도입된 페이스 언락 역시 눈을 감은 상태에서도 잠금이 풀린다. 스마트폰 주인이 잠들기만 기다리면 쉽게 잠금을 풀어 사진이나 주소록, 메시지 등 각종 개인정보를 엿볼 수 있다.

관련기사

삼성전자와 구글은 이번에 발생한 문제를 소프트웨어 업데이트로 해결할 수 있다는 입장이다. 먼저 구글은 픽셀 소프트웨어 업데이트를 통해 최소한 한쪽 눈을 뜨고 있어야 페이스 언락이 가능하도록 옵션을 추가한다는 방침이다.

삼성전자 역시 소프트웨어 업데이트를 통해 갤럭시S10과 갤럭시노트10의 초음파 지문 인식 기능을 개선하겠다고 밝혔다. 그러나 소프트웨어 업데이트 이후에 오히려 지문 인식률이 떨어지거나 문제가 개선되지 않을 가능성도 여전히 남아 있다.

권봉석 기자bskwon@zdnet.co.kr
기자의 다른 기사 보기
구글 삼성전자 애플 터치ID 픽셀4 홍채인식 페이스ID

지금 뜨는 기사

이시각 헤드라인

‘꼼짝마!’…AI 접목 금융 이상거래 탐지 ‘한 끗’ 차별화

[지디 코믹스] 네이버 '라인' 일병 구하기

"韓 로봇산업, 1% 기술 확보 중…민간 생태계 강화해야"

OTT서 보는 축구·야구…비용 부담은 이용자 몫?

ZDNet Power Center