얼굴사진 갖다대도 ‘승인OK’… 불안감 커진 부실 생체인증

레노버, PC·노트북 지문인식서
심각한 보안 취약점 발견 공지
얼굴사진으로 윈도 헬로 해제도
생체인증 한번 뚫리면 피해 커
"다중 인증체계 구성해야 안전"

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


얼굴사진 갖다대도 ‘승인OK’… 불안감 커진 부실 생체인증
모바일 생태계를 중심으로 발전하던 생체인증이 공항, 오피스, 주택 등 각 영역으로 빠르게 확대되고 있지만 시스템상 허점을 보이며 사용자들의 불안감이 증폭되고 있다. 픽사베이 제공
모바일을 중심으로 발전하던 생체인증 생태계가 공항, 오피스, 주택 등 각 영역으로 빠르게 확대되고 있지만 시스템상 허점을 보이며 사용자들의 불안감이 증폭되고 있다. 레노버 등 글로벌 기업의 생체인증 기능에서 보안 허점이 발견되는 데다 생체인증은 한번 뚫리면 피해가 일파만파로 커질 수 있다는 점에서 우려가 커지고 있다.

레노버는 금융전문 보안업체 시큐리티콤파스를 통해 자사 PC 및 노트북의 지문인식 기능인 '핑거프린트 매니저 프로(Fingerprint Manager Pro)'에서 최근 심각한 보안취약점을 발견했다고 지난달 30일 발표했다.

레노버 워크스테이션과 노트북에 설치된 이 유틸리티는 사용자의 지문을 등록해 별도의 비밀번호 입력 없이 시스템에 로그인할 수 있게 도와준다. 그런데 암호화 알고리듬이 불완전해, 공격자가 이를 우회해 시스템에 접근하고 데이터를 빼낼 수 있는 것으로 드러났다.

마이크로소프트(MS)가 FIDO(국제생체인증표준) 기반의 생체인식 시스템 '헬로'를 지원하는 윈도 10을 제외한 윈도7과 윈도8 레노버 사용자는 모두 이 취약점에 노출됐다. 레노버는 문제를 공지한 데 이어 관련 패치를 제공하고 있다.

이에 앞서 IBM은 지난 30일 'IBM 시큐리티:개인인증 방식의 미래' 보고서를 통해 현재 세계적으로 10명 중 6명 이상이 복잡한 비밀번호 대신 생체인증을 사용하고 있다고 밝혔다. 젊은 세대일수록 기존의 인증방식을 벗어나 다중인증 등을 활용하는 것으로 조사됐다.

특히 사용자들은 생체인증 이용 시 가장 우려되는 사항으로 개인정보 보호를 꼽았다. 응답자의 55%가 이와 관련한 불안감이 크다고 밝혔다. 아울러 응답자의 50%는 가짜 생체 데이터를 사용해 타인의 계정에 액세스하는 경우를 들며 보안성에 대한 우려를 표했다.

이런 상황에서 생체인증이 다양한 수법으로 쉽게 뚫리는 사례가 빈번하게 일어나고 있다. 지난해 12월 독일 모의해킹업체 SYSS는 저해상도 얼굴 사진을 프린트로 출력한 이미지를 이용해 윈도 헬로 인증 시스템을 해제시키는 데 성공했다.

또 독일의 해커팀 카오스컴퓨터클럽(CCC)은 지난해 유튜브를 통해, 고성능 카메라로 촬영한 이미지로 '갤럭시S8'의 홍채 인식뿐 아니라 아이폰의 지문 인식의 보안인증 기능을 해제할 수 있음을 시연한 바 있다. 베트남 보안회사 비카브는 아이폰X의 페이스ID 얼굴 인증 기능을 특수 가면으로 손쉽게 뚫었다.

앞으로 생체인증 기술이 더 고도화되면 복제 및 모방 위험도는 낮아질 것으로 보이지만, 가장 큰 문제는 저장된 생체정보가 개인마다 고유하다는 점이다. 단 한 번 유출될 경우 비밀번호와는 비교할 수 없을 만큼 사회적으로 큰 파장을 일으킬 수 있는 것.

이에 방송통신위원회와 한국인터넷진흥원(KISA)은 지난해 12월 '바이오정보 보호 가이드라인'을 마련해 시행 중이다. 지문·홍채 등 원본 정보를 처리한 후에는 원칙적으로 파기토록 하고, 모든 구간에서 생체정보를 암호화해 전송하는 것이 주요 골자다.

보안업계 한 관계자는 "생체인증은 강력해 보이지만 기술이 아직 발전단계인 만큼 금융업무 등 중요 데이터를 처리할 때는 이를 단독으로 사용하기보다 'OTP(일회용비밀번호)' 등 다중인증 체계를 구성하는 것이 안전하다"고 말했다.

한편 이글루시큐리티는 '2018년 보안 위협·기술 전망 보고서'를 통해 올해 생체인증 시스템을 무력화하는 우회 공격이 증가할 것이라고 전망했다.

이경탁기자 kt87@dt.co.kr

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


추천기사