컨텐츠 바로가기

03.19 (화)

"내 몸이 비밀번호"라던 생체인증, 안전성 도마 올라

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

홍채 고유 패턴은 12만가지 넘지만

이 중 일부만 개인식별에 이용돼

"제조사는 홍채 패턴 인식률 높이고

소비자는 최소 2가지 인증절차 활용해야"

“제 목소리가 비밀번호입니다(My voice is my password)”.

영국 BBC의 댄 시먼스 기자는 자신의 HSBC 계좌에 이런 말로 음성 인증 서비스를 등록했다. HSBC는 “사람마다 지문이 다르듯 목소리도 고유하다”며 지난해 음성 인증 거래 시스템을 도입했다. 하지만 댄의 쌍둥이 동생 조 시먼스가 댄의 목소리를 흉내 내면서 "My voice is my password"라고 또박또박 말하자 HSBC의 모바일 뱅킹 보안시스템은 "웰컴"이라는 답변과 함께 뚫렸다. 이 장면이 담긴 BBC의 영상은 이달 중순 큰 화제가 됐다.

삼성전자의 최신 스마트폰 갤럭시S8의 홍채인식 기능이 홍채를 찍은 사진을 활용한 방법에 간단히 뚫리는 것으로 알려지자 생체 인증의 보안성에 관심이 높아지고 있다.

그간 삼성전자는 "내 몸이 곧 공인인증서인 시대가 온다"며 다양한 생체인증 방식을 개발해 스마트폰에 적용해 왔다. 갤럭시S8과 S8플러스는 얼굴인식·지문·홍채의 3가지 생체인증 방식을 지원한다.

전문가들은 보안 강도가 홍채, 지문, 얼굴인식 순으로 높다고 설명해왔다. 홍채 전문가인 이남한 박사는 "홍채에는 12만6400개의 고유 패턴이 있어 지구 상에 같은 사람이 없을 정도로 고유성이 뛰어나다"고 설명했다. 문제는 제조업체들이 이런 고유 패턴 중 일부만 활용한다는 점이다.

삼성전자는 지난해 갤럭시노트7을 출시하면서 "홍채의 복잡한 패턴 가운데 일부 요소를 인증 장치에 활용했다"고 설명했다. 익명을 요구한 한 전문가는 "홍채의 고유 패턴을 50%만 활용해도 인증 장치는 뚫기가 힘든데 패턴 인식률이 낮은 상태에서 다소 성급히 상용화했다"고 지적했다.

지문은 보안성이 더 떨어진다. 이번에 갤럭시S8의 홍채인식을 뚫은 독일 해커들은 이미 2013년 아이폰5S의 지문인증을 뚫었다. 아이폰 화면 표면에서 지문을 채취한 뒤 투명 시트에 채취한 지문을 프린트했다. 그런 후 손가락에 이 시트를 붙이고 홈버튼에 갖다 대는 방식으로 보안 장벽을 넘어섰다.

갤럭시S8에 첫 적용된 안면 인증 역시 쌍둥이나 외모가 매우 닮은 사람의 얼굴을 식별하지 못하는 약점이 있다.

전문가들은 생체인증 정보는 한 번 유출되면 돌이킬 수 없다는 점에서도 보안성 강화가 시급하다고 지적한다. 생체 인증에 횟수 제한이 없다는 점도 문제다. HSBC 인증을 뚫은 댄과 조의 실험에서도 제작팀은 12분 동안 같은 계좌에 20번이나 접근을 시도했지만 로그인 제한은 없었다.

익명을 요구한 홍채 전문가는 "휴대폰 제조업체들은 '실험실의 특수한 환경에서 제한적으로 뚫린 것'이라고만 말할게 아니라, 홍채 고유 패턴 인식률을 높인 소프트웨어를 개발해 자주 업데이트 해야 한다"고 말했다. 소비자들도 스마트폰 잠금과 금융 결제 과정에서 생체인증, 비밀 번호 등 최소 두가지 이상의 보안 절차를 걸어놓는 편이 좋다.

박태희 기자 adonis55@joongang.co.kr

▶생체인증 방식과 약점, 해킹사례

홍채홍채 촬영한 사진 활용하면 실제 안구와 구별 못해 보안 빗장 열려
지문1억명에 한명 꼴로 닮은 패턴 존재. 지문 채취해 보안 인증 뚫을 수 있어
안면인식쌍둥이나 닮은 사람 인식률 떨어져
음성영국 BBC 실험서 쌍둥이나 유사한 목소리 보유자 구별 못해
자료:업계 종합

박태희 기자 adonis55@joongang.co.kr

▶SNS에서 만나는 중앙일보 [페이스북] [트위터] [네이버포스트]

ⓒ중앙일보(http://joongang.co.kr) and JTBC Content Hub Co., Ltd. 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.