삼성전자, 지문인식 버그 인정 ‘패치 발매 계획중’
생체인식 전문가들, “위변조 탐지 기술 적용 필요”[보안뉴스 김성미 기자] 삼성전자의 갤럭시S10과 갤럭시노트10의 지문인식이 실리콘케이스를 씌우면 등록된 지문이 아니여도 잠금이 풀리는 것으로 나타나 생체인식의 보안 취약성에 경고등이 켜졌다.
▲8월 미국 뉴욕 바클레이스 센터에서 열린 갤럭시 언팩 2019에서 삼성전자 IM 부문장 고동진 사장이 제품을 소개하는 모습 [사진=삼성전자]
갤럭시S10과 갤럭시노트10은 삼성페이나 은행 어플리케이션 등에서 지문인식을 본인인증 수단으로 사용하고 있기 때문에 스마트폰의 지문인식 취약점은 적지 않은 파장을 불러일으킬 것으로 예상된다.
최근 더 선과 포브스 등 외신 보도와 국내 IT 커뮤니티 등에 따르면, 이베이 등에서 약 3달러에 판매되는 전후면 실리콘케이스를 갤럭시S10에 씌웠을 때 스마트폰에 등록된 지문이 아닌 다른 사람의 지문으로도 잠금이 해지되는 것으로 드러났다. 지문이 아닌 손가락 마디를 대도 지문인식이 풀렸다.
삼성전자는 언론보도 이전부터 갤럭시S10과 갤럭시노트10의 지문인식 문제를 알고 있었다는 주장도 제기됐다. 한 국내 사용자는 IT 커뮤니티 사이트에 9월 10일 삼성전자에 처음 문제를 제기했으나 문제가 아직도 해결되지 않고 있다고 밝혔다.
삼성전자는 갤럭시S10과 갤럭시노트10에 퀄컴과 함께 개발한 초음파 지문인식을 적용해 스마트폰 잠금을 풀 수 있게 했다. 그런데 지난 달 국내 한 IT 커뮤니티 게시판에 갤럭시노트10의 지문인식이 손쉽게 뚫렸다는 글이 올라오기 시작하면서 보안성에 대한 의혹이 제기됐다.
이달 13일에는 영국 매체, 더 선이 누구나 갤럭시S10의 지문인식을 풀 수 있다는 제보를 보도했다. 스마트폰 앞면에 실리콘 케이스를 씌웠더니 남편이 부인의 스마트폰 잠금을 풀고 은행 앱까지 들어갈 수 있었다는 내용이다. 이어 미국 포브스지도 갤럭시노트10에서 큰 보안 허점이 발견됐다고 보도했다.
이처럼 의혹이 커지자 삼성전자는 지문인식 프로그램에 오류가 있다는 사실을 인정했다. 다만, 기기 결함은 아니고 소프트웨어 문제라고 밝혔다. 실리콘케이스를 씌우고 휴대전화 화면을 누를 때 케이스의 패턴과 지문이 함께 인식된 후 등록돼 발생한 현상이란 설명이다.
아울러, 소프트웨어 업데이트로 보완할 수 있는 문제라면서 며칠 안에 해결할 수 있으며 조만간 소프트웨어 패치(오류 수정 프로그램)를 내놓을 계획이라고도 밝혔다. 하지만 이같은 삼성전자의 해명에도 불구하고 각종 개인정보뿐 아니라 금융보안과도 직결된 스마트폰의 보안이 손쉽게 뚫릴 수 있다는 사실이 확인됐다는 점에서 파장은 적지 않을 것으로 보인다.
갤럭시S10과 갤럭시노트10의 보안 취약점 문제와 삼성전자의 소프트웨어 패치 계획에 대해 한 국내 지문인식 기업 관계자는 “삼성전자가 이용자의 편의성 증대를 위해 인증 허용률을 높인 결과라고 생각된다”면서, “삼성전자가 패치 강화를 통해 지문인식 알고리즘 상에서 인증 허용률을 낮추면 쉽게 해결할 수 있을 것으로 보인다”고 분석했다.
생체인식 전문가들, “위변조 탐지 기술 적용했어야”
그러나 국내 생체인식 전문가들은 이번과 같은 문제를 사전예방하기 위해선 ‘위변조 탐지 기술’이 필수적으로 병행 적용됐어야 했다는 입장을 내놓았다.
국내 생체인식전문가인 김재성 한국인터넷진흥원(KISA) 정보보호산업본부 강원정보보호지원센터 센터장은 “특화된 위변조 탐지 모듈이 적용되지 않는다면 지문인식이 적용된 모든 스마트기기는 실리콘에 취약하다는 약점을 보완할 수 없다”고 지적했다. 김 센터장은 “스마트폰 해킹을 위해 특별하게 제조된 실리콘 손가락이나 실리콘케이스가 아닌 어린이용 젤리만으로도 무력화시킬 수 있다”고 덧붙였다.
삼성전자도 갤럭시S10과 갤럭시노트10을 개발하면서 지문인식의 취약점 대응을 위해 다양한 고민을 했던 것으로 나타났다. 김학일 인하대 정보통신공학과 교수에 따르면, 삼성전자는 기존의 반도체 방식 지문입력센서의 위변조 지문 취약점을 보완하기 위해 퀄컴의 초음파 방식 센서를 도입하였으나 새로운 센서가 갖는 새로운 취약점에 대해서는 예측하지 못했다. 김 교수는 “지문인식 보안을 위해서는 초음파 센서 도입보다 최근의 딥러닝 기반의 지문인식 위변조 탐지 기술을 더 우선적으로 도입했어야 했다”고 지적했다.
전문가들 사이에서 ‘초음파 지문인식 센서’는 기존의 거미줄 손가락 해킹이나 실리콘 손가락 해킹 문제를 해결하는 대안으로 여겨졌다. 그러나 이번 문제가 발생하기 전까지는 전문가들도 초음파 지문인식 센서가 이런 취약점을 갖고 있으리라고 예상하지 못했다.
김학일 교수는 “보안기술은 창과 방패의 싸움이다. 어떠한 보안 기술도 뚫릴 수 있는 것처럼 어떠한 해킹 공격도 막을 수 있다”고 강조했다. 삼성전자의 이번 지문인식 센서 문제에 대해서는 하드웨어 방식이나 소프트웨어적으로 해결이 가능하겠지만, 어느 것도 완벽할 수 없다는 것을 인정해야 한다고 강조했다.
또한, 김 교수는 “삼성전자가 해결책으로 제시한 보안 패치는 실리콘케이스를 통과한 시그널을 분석해 라이브 핑거와의 차이를 분석해 위변조를 탐지하는 방식일 것으로 예상되나, 이 경우 지문인증의 정확도가 떨어질 가능성이 있다. 따라서, 급조된 간단한 알고리즘 개선보다는 초음파 센서의 신호에 대한 세밀한 연구와 더불어 딥러닝 기술을 적용한 위변조 지문 탐지 기술을 개발하는 신중한 접근이 필요하다”는 의견을 제시했다.
[김성미 기자(sw@infothe.com)][출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=83882&page=2&kind=1]
