4000원짜리 투명 케이스에… 갤S10 보안 뚫렸다

삼성전자의 최신 스마트폰 갤럭시S10, 갤럭시노트10의 보안에 구멍이 뚫렸다. 일부 스마트폰 화면 보호 케이스를 씌우면 아무나 손가락을 갖다대도 지문 잠금이 해제되는 오류가 확인된 것이다. 스마트폰 주인이 지문 잠금을 걸어놔도 제3자가 스마트폰 잠금을 풀 수 있고 지문 인증을 거쳐야 하는 삼성페이 같은 각종 결제 앱으로 마음대로 결제도 할 수 있다는 의미다. 삼성은 이 같은 오류를 인정했으나 아직 정확한 원인을 밝히지 못하고 있다. 삼성전자가 문제를 조기에 해결하지 못할 경우 '보안 게이트'로 번지며 지난 2017년 갤럭시노트7 발화 사태 때와 같은 파장이 일 가능성도 배제할 수 없다.

본지 기자가 다른 사람의 지문 인식 보안이 설정된 삼성전자 갤럭시S10 스마트폰 앞면에 실리콘 소재 커버 케이스를 씌운 뒤 손가락을 갖다대자, 보안 해제와 함께 화면 잠김이 풀리고 있다. /주완중 기자

삼성전자 지문 보안의 오류는 지난 16일(현지 시각) 영국 일간지 더선의 보도로 가장 먼저 알려졌다. 갤럭시S10을 사용하는 한 영국 여성이 "지문 잠금을 해놨는데 남편이 손가락을 갖다댔더니 그냥 풀려버렸다"고 제보한 것이다. 이 여성은 "이베이에서 구입한 2.7파운드(약 4000원)짜리 투명 보호 케이스를 씌웠더니 이런 오류가 발생했다"고 했다. 더선은 "갤럭시S10의 화면 내장형 지문 인식이 특정 케이스를 사용할 때 누구나 열 수 있는 것으로 나타났다"고 전했다.

미국 포브스는 "갤럭시S10 지문 인식이 단돈 몇 푼에 해킹당했다"며 "거대한 보안 구멍이 발견된 것"이라고 보도했다. 국내에서도 한 갤럭시 사용자가 한 IT(정보기술) 사이트를 통해 "지난달 10일 삼성전자에 (지문 인식이 뚫리는) 문제를 제기했으나 정품 케이스를 쓰라는 답변만 받았다"고 주장했다.

◇지문 인식 철통 보안 자랑했는데

갤럭시S10의 지문 인식을 해제하는 데 사용된 실리콘 커버 케이스. /최인준 기자

17일 본지 기자가 시중에서 구입한 투명 스마트폰 케이스 2종으로 갤럭시S10과 노트10의 지문 인식 오류 여부를 확인했다. 지문이 등록되지 않은 사람도 실제로 잠금을 해제할 수 있었다. 10대당 2, 3대꼴로 잠금이 풀렸다. 지문을 사용해야 하는 결제앱 삼성페이의 본인 인증도 뚫렸다. 마음만 먹으면 다른 사람의 갤럭시 스마트폰을 이용해 몰래 결제까지 할 수 있다는 얘기다.

초음파 지문 인식은 삼성이 올해 갤럭시S10과 노트10에 처음 도입하며 "보안을 한층 강화했다"고 자랑했던 기술이다. 미국 퀄컴이 개발한 투명 초음파 센서를 화면에 탑재한 것이다. 초음파 인식 기술은 화면에 닿는 손가락에 초음파를 쏴서 지문의 굴곡을 입체적으로 분석·식별한다. LG전자, 중국 화웨이·샤오미 등이 채택한 광학식 센서보다 정확도와 보안성이 한층 더 강화된 방식이다. 사진을 찍듯 2차원 이미지로 지문을 구분하는 광학식보다 인식률이 더 뛰어나다. 삼성전자는 "손이 물에 젖어도 지문 인식이 가능하다"고 했다.

초음파 지문 인식의 보안 위험이 제기된 것은 이번이 처음은 아니다. 지난 4월 한 해외 온라인 사이트에서 3D(입체) 프린터로 스마트폰 사용자의 지문을 본뜬 가짜 지문으로 갤럭시S10 잠금이 풀리는 장면이 담긴 영상이 공개됐다. 유리잔에 찍힌 지문을 카메라로 촬영한 뒤 이를 토대로 실제와 흡사한 입체 형태 지문을 만든 것이다. 하지만 이번에 확인된 보안 구멍은 이런 복잡한 과정도 필요 없는 것으로, 더욱 치명적인 오류인 셈이다.

◇삼성전자 "SW 업그레이드하겠다"

전문가들은 "확실히 단정 짓기 어렵지만 지문을 처리하는 스마트폰 소프트웨어의 오류일 가능성이 높다"고 진단했다. 김수형 ETRI(한국전자통신연구원) 인증기술연구실장은 "초음파는 지문을 입체적으로 분석하기 때문에 광학식에 비해 처리해야 할 정보량이 더 많아 분석 알고리즘도 복잡할 수밖에 없다"며 "이 알고리즘을 처리하는 소프트웨어에 문제가 생겼을 가능성이 있다"고 했다. 투명 실리콘 케이스 표면에 있는 미세한 돌기 패턴이 지문 인식 센서 오작동을 불러일으켰다는 분석도 나온다. 시중에 나온 대부분의 스마트폰 케이스는 물에 젖었을 때 스마트폰과 케이스 표면이 달라붙는 유막현상을 줄이기 위해 눈에 보이지 않는 작은 패턴이 새겨져 있다. 초음파 인식 센서가 이 돌기를 지문으로 인식했다는 것이다.

삼성전자는 모바일 간편결제가 보편화되는 추세에 맞춰 올해 출시한 갤럭시S10과 노트10에 지문 인식을 강화했다. 삼성 스마트폰에 운영체제(OS)를 공급하고 있는 구글이 새 OS인 안드로이드10에서 얼굴 인식 기능을 차단함에 따라 지문 인식 사용 비중은 더 높아질 전망이다. 삼성전자로서는 당혹스러울 수밖에 없는 상황이다. 삼성전자는 더선의 보도 직후 대책 마련에 분주한 모습이다. 삼성전자 관계자는 "지문 인식 오류가 맞지만 조사를 진행하고 있어 아직 정확한 원인을 밝히기 어렵다"며 "조만간 오류 해결을 위한 소프트웨어 업데이트를 진행하겠다"고 밝혔다.

☞초음파 지문 인식

손가락에 초음파를 쏴서 지문의 굴곡을 입체적으로 분석·식별하는 기술. 사진을 찍듯 2차원 이미지로 지문을 구분하는 광학식보다 인식률이 높고 보안도 뛰어난 것으로 알려져 있음.

최인준 기자(pen@chosun.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>