지난달 24일 상하이에서 열린 GeekPwn 2019에서 텐센트 보안 연구팀 X-lab이 스마트폰 지문인식 센서를 통과하는 해킹을 시연하고 있다. (사진=트위터 @DIOGENISCHARALA)
거의 모든 안드로이드 스마트폰에 탑재된 지문인식 기술이 20분 만에 뚫렸다. 애플은 아이폰X부터 지문인식 물리 버튼을 제거하고 페이스ID 얼굴인식 기술로 전환했지만 구형 아이폰은 잠재적 위협에 놓였다.
포브스, 아바쿠스(abacus) 등 외신에 따르면, 지난달 24일 중국 상하이에서 열린 국제 스마트 리빙 보안 컨퍼런스(geekpwn 2019)에서 텐센트의 사이버 보안 연구팀 X-Lab이 140달러짜리 장비와 이미지 분석 앱만으로 단 20분 만에 스마트폰의 지문인식 장치를 해킹하는 시연에 성공했다.
X-Lab은 컨퍼런스 청중에게 유리 컵을 만지도록 했고, 스마트폰 카메라를 이용해 컵에 남은 지문을 촬영한 뒤 이미지 분석 앱으로 지문 데이터를 수집했다. 보안 문제로 구체적인 방식은 공개되지 않았지만, 이 이미지 분석 앱은 3D 프린터를 사용해 지문을 복제해 데이터를 추출하는 방식과 흡사한 것으로 추정된다.
이 프로세스를 통해 생성된 복제 지문으로 청중들이 자신의 지문을 등록한 스마트폰을 손쉽게 해제 했다. 가장 대중적으로 사용되는 정전식·광학식·초음파 지문인식 기술이 적용된 3개의 스마트폰과 2개의 스캐너가 지문 촬영부터 잠금해제에 걸린 시간은 불과 20분이었다.
시연 후 X-Lab 첸 유(Chen Yu) 팀장은 "이 해킹에 사용된 하드웨어의 비용은 약 1000위안(약 142달러)에 불과하며, 소프트웨어는 전화기와 앱이 전부"라고 말했다.
지문을 복제하는 방법이 얼마나 쉬운지 설명하는 것은 어렵지만, 최근 지문 복제에 노출된 스마트폰이나 생체인식 기술이 적지 않다.
지난 5월 한 유튜버(Max Tech)가 중국 원플러스7 프로 스마트폰에 적용된 광학식 디스플레이 내장 지문인식 센서를 무력화시켜 화제를 모았다. 글루건과 은박지, 화이트 접착제 등을 이용해 지문 성형을 본뜬 뒤 이를 이용해 스마트폰 지문 인식에 성공했다.
원플러스6T도 잠금해제 됐지만 퀄컴의 3세대 초음파 디스플레이 내장 지문인식 센서를 탑재한 삼성전자의 갤럭시S10은 성공하지 못했다.
뉴욕대학(New York University) 연구팀은 생체인식 스캐너와 인간의 눈을 속일 수 있는 인공지능(AI)을 활용한 가짜 지문 생성 방법을 찾았다. '딥마스터프린트(DeepMasterPrints)'라는 신경망 AI는 오류율이 1000분의 1인 생체인식 시스템에서 23%의 지문을 채취해냈다. 매칭 오류 비율이 100분의 1에 달했을 경우에는 실제 지문의 77%를 복제할 수 있어 AI를 이용한 생체인식 해킹에 무방비 노출될 수 있다는 경고가 나왔다.
과거 진피층까지 인식해 스캔하는 아이폰5S의 고해상도 정전식 터치ID도 한 연구팀에 의해 뚫린 바 있다. 애플은 이후 아이폰6s부터 보안성이 강화된 2세대 터치ID로 개선했으나, 아이폰X부터는 얼굴인식 페이스ID로 변경했다.
가장 최근에는 삼성 갤럭시S10과 갤럭시노트10이 실제 지문과도 다른 실리콘 케이스 주름에 잠금이 쉽게 해제돼 논란이 일었다. 삼성이 이를 보완하는 패치를 발표했지만 일부 국내외 금융권에서는 삼성 스마트폰의 지문 인증을 배제시키기도 했다.
포브스는 삼성이 내년 초 출시할 갤럭시S11의 보안 강화를 위해 6자리 PIN 번호, 비밀번호, 지문 정보 등을 통합하는 멀티팩터 인증 기술을 제공할 것이라는 전망이 나오고 있다며, 지문인식 기술 자체에 보안상 허점이 존재한다는 사실을 뒷받침하고 있다고 지적했다.
삼성은 지문 인식률을 높이기 위해 초음파 디스플레이 내장 지문인식 센서 크기를 더 키울 예정이다. 샤오미도 퀄컴의 초음파 디스플레이 내장 지문인식 센서를 사용한다.
다만, X-Lab의 시연이 구체적인 해킹 방법을 공개하고 있지 않아 주장에 불과할 수 있고, 현재의 지문인식 해킹은 물리적인 방법으로 지문 채취나 복제를 해야하기 때문에 여전히 제약이 따른다고 덧붙였다.
첸 유 X-Lab 팀장은 말미에 "음료수 잔보다 휴대폰 유리에서 지문을 채취하는 방법이 훨씬 쉽다"면서 "너무 걱정할 필요는 없다. 휴대전화나 스캐너의 유리에 묻은 지문을 자주 닦아주는 것만으로도 복제 위험을 크게 낮출 수 있다"고 말했다.
한편, 얼굴인식의 경우에도 기술 완숙도에 따라 해킹 가능성은 열려 있다.
작년 포브스 기자 토마스 브루스터가 자신의 얼굴을 3D 프린터로 정교하게 복제한 뒤, 안드로이드 운영체제(OS)를 사용하는 LG G7 씽큐, 삼성 갤럭시S9, 갤럭시노트8, 원플러스6와 iOS를 사용하는 아이폰X을 대상으로 언굴인식 기술 보안성을 테스트한 결과, 모든 안드로이드 스마트폰의 잠금이 쉽게 해제됐다.
정교한 트루뎁스 카메라 시스템으로 설계된 아이폰X의 페이스ID와 노트북에 설치된 마이크로소프트의 윈도우 헬로(Windows Hello)는 속임수가 불가능했다.
전문가들은 대부분의 스마트폰 생체인식 기술이 보안성보다 잠금해제를 위한 편의성에 치우쳐 있다고 지적했다.