[단독] 삼성 갤럭시도 얼굴인식 보안기능 허점…눈 감아도 잠금 해제

갤럭시 S8·9·10과 노트9, 눈 감아도 바로 잠금 풀려 / 사생활 침해 우려에도 경고 無 / 전문가들 "얼굴 인식 기능은 비밀번호와 같은 보안 기능…경고 문구나 허점 충분히 설명해야"/ 삼성 측 “문제점 해결하는 솔루션 마련해 적용할 것”

최근 구글 신형 스마트폰 픽셀4가 눈을 감은 상태에서도 단 1초 만에 잠금 상태가 해제돼 보안 취약성 논란이 인 가운데 삼성전자 주력 스마트폰인 갤럭시 S와 노트 시리즈 일부 모델도 같은 증상을 보여 생체인식 및 보안 기능에 허점이 있는 것으로 드러났다. 세계일보가 ‘얼굴 인식’ 기능이 탑재된 갤럭시 S8·9·10과 노트9를 대상으로 확인한 결과, 이들 기기 화면에 눈을 감은 얼굴을 가까이 하니 잠금 상태가 바로 풀린 것이다. 얼굴 인식 기능으로 잠금 해제를 설정한 스마트폰 이용자가 잠을 자거나 의식을 잃었을 때 다른 사람이 접근해 민감한 개인정보를 쉽게 들여다보고 악용할 수도 있다는 얘기다.

특히 2017년 4월 갤럭시 S8 출시 당시 실제 사람 얼굴이 아닌 ‘얼굴 사진’을 갖다 대도 잠금 화면이 해제돼 논란이 있었던 점을 감안하면 삼성전자가 소비자의 사생활 침해 등과 직결될 수 있는 얼굴 인식 기능의 보안성 강화를 소홀히 한 것 아니냐는 지적이 나온다.

BBC 뉴스의 크리스 폭스 기자가 눈을 감고 안면 인식 기능으로 픽셀4의 잠금 상태를 풀고 있다. 크리스폭스 기자의 트위터(@thisisFoxx) 캡처

◆갤럭시 S8·9·10과 노트9, 눈 감은 얼굴에 바로 잠금 풀려

갤럭시 S8부터 적용된 얼굴 인식 기능은 사람의 얼굴 골격을 분석해 이용자의 신원을 확인하는 것으로 S8과 노트8 이후 갤럭시 모델에 모두 탑재돼 있다. 세계일보는 최근 얼굴 인식 기능이 들어간 모델 중 S8·9·10과 노트9을 대상으로 ‘눈을 뜬 상태’와 ‘눈을 감은 상태’로 나눠 스마트폰 잠금 상태가 바뀌는지 실험했다. 해당 스마트폰은 모두 최신 버전(10월31일 기준)으로 소프트웨어를 업데이트했다.

삼성전자가 자사 스마트폰의 얼굴 인식 등록을 돕기 위해 예시로 제시한 그림. 해당 그림에는 눈을 뜬 상태로 돼 있다.

삼성전자가 자사 스마트폰의 얼굴 인식 기능이 비슷한 얼굴이나 사진 등에도 작동해 휴대전화 잠금이 해제될 수 있다고 경고한 문구. 눈을 감고도 잠금이 해제될 수 있다는 내용은 포함돼 있지 않다.

스마트폰 설정의 ‘생체인식 및 보안’ 항목에서 ‘얼굴 인식’을 누른 뒤, 직접 얼굴을 등록했다. 설정 방법에 안내된 예시처럼 눈을 뜬 상태로 스마트폰을 바라보며 등록했다. 얼굴 인식 기능이 작동할 수 있도록 ‘얼굴로 잠금해제’ 버튼도 활성화했다. 이어 다시 설정의 ‘잠금화면’을 선택, ‘화면 잠금 방식’에서 ‘얼굴’ 버튼을 활성화해 얼굴 인식 기능으로 화면 잠금을 해제할 수 있도록 했다.

이후 실험 결과, 갤럭시 S8·9·10과 노트9 모두 눈을 떴을 때나 감았을 때 화면 잠금이 풀렸다. 눈을 뜨고 있는지 여부가 신원 확인에 아무런 영향을 주지 않았다. 해당 스마트폰 사용자가 깊은 잠에 빠져 있는 등 눈을 감고 있는 상황이라면 누군가가 쉽게 당사자의 스마트폰 잠금을 해제하고 개인정보를 들여다보거나 유출하는 등 악용될 소지가 있는 셈이다.

삼성전자가 자사 스마트폰의 사용 설명서 얼굴 인식 부분에 공고한 얼굴 인식 주의 사항. ‘비슷한 얼굴이나 이미지의 경우 본인으로 인식되어 잠금이 해제될 수 있다’고 적혀있다. ‘눈을 감은’ 경우 발생할 수 있는 오류에 대해서는 적혀있지 않다. 삼성전자 스마트폰 사용 설명서 캡처

◆눈 감고도 잠금 풀릴 수 있다는 경고 無…사생활 침해 우려

하지만 삼성전자는 설정이나 사용 설명서 어디에도 이런 점을 명확히 언급하지 않았다. 얼굴 인식 과정에서 ‘다른 잠금 방식에 비해 보안 기능이 낮다’며 ‘비슷하게 생긴 사람이나 사용자의 사진을 가진 사람이 잠금을 해제할 수 있다’거나 ‘얼굴 인식만 사용할 경우 패턴, PIN(개인 식별 번호), 비밀번호 방식보다 보안에 취약할 수 있다’고만 했다. 사용 설명서의 ‘얼굴 인식’ 부분에서도 ‘제품을 잡고 화면을 정면으로 바라보세요’라고 적었으며, 참고용 그림에도 ‘눈을 뜬’ 남성이 스마트폰을 바라보고 있다. 얼굴 인식 기능을 사용하는 소비자들로선 당연히 눈을 뜬 상태로 얼굴 정보를 등록하게 되고, 자신이 눈을 감고 있을 때도 잠금이 해제돼 스마트폰 안에 담긴 무수한 개인정보가 유출될 수 있다는 생각은 전혀 못할 수밖에 없다.

고려대 정보보호대학원 김승주 교수(사이버국방학)는 세계일보와 통화에서 “얼굴 인식 기능은 비밀 번호와 같은 보안 기능”이라며 “(보안 장치로서) 연락처와 사진 등 스마트폰 내부의 정보를 보호할 수 있어야 한다”고 지적했다. 김현걸 한국사이버보안협회 이사장도 “(이런 상태를 방치하면) 스마트폰 내부에 저장된 연락처나 메모, 사진 등 개인 정보를 제 3자가 접근해 볼 수 있다는 점에서 사생활 침해의 논란이 예상된다”고 말했다.

삼성전자 홈페이지에 나와 있는 얼굴 인식 소개 부분. 예시 사진에서도 사용자가 눈을 뜨고 있다. 삼성전자 홈페이지 캡처

◆삼성 측 “얼굴 인식 기능은 ‘보안’아닌 사용자 편의 위한 ‘부가’ 기능”이라면서도 “문제점 해결하는 솔루션 마련해 적용할 것”

이에 대해 삼성전자 관계자는 “얼굴 인식 기능은 빠르게 화면 잠금을 해제하려는 (사용자의) 편의를 위해 제공된 ‘부가 기능’”이라며 “그래서 지문이나 홍채 등에 비해 보안 부분에 취약할 수 있다는 점을 사전에 고지했고, 잠금 해제 기능 외에 금융거래나 결재 등 강력한 보안이 요구되는 기능에는 사용되지 않는다”고 말했다. 이어 “(얼굴 인식은) 잠금을 빨리 해제할 수 있는 패턴 인식과 비슷하다고 보면 된다. 패턴 인식도 (다른 사람이) 옆에서 한 번 보고 외우면 바로 잠금을 풀 수 있다”며 “그래서 보안 부분이 우려되는 분들은 패턴뿐만 아니라 PIN이나 비밀번호를 같이 사용하도록 권장하고 있다”고 덧붙였다.

하지만 스마트폰 설정에서 얼굴 인식 기능이 홍채, 지문 등과 함께 신체로 본인의 신원을 확인하는 생체인식 보안 방법의 하나로 분류된 점에 비춰 눈을 감은 상태에서도 잠금이 해제되는 것을 모르는 사용자들이 자칫 예상하지 못한 피해를 입을 수도 있다는 지적이 나온다.

기자가 삼성전자 주력 스마트폰인 S10의 얼굴 인식 기능이 눈을 감은 상태에서도 작동하는지 확인하고 있다. 이우주 기자

김학일 인하대 교수(정보통신공학)는 “삼성전자가 제대로 만들어지지 않은 기술을 적용한 것으로, (개인 정보 유출 등으로) 대단히 위험하다”며 “생체 인증 보안 기능에 대한 점검이 필요하다”고 강조했다.

이와 관련, 삼성 측은 조만간 해결 방안을 찾아 얼굴 인식 기능에 대한 우려를 해소하겠다는 입장을 밝혔다.

삼성 측은 15일 세계일보에 “(눈을 감은 얼굴도 바로 인식돼 잠금이 해제되고 정보 유출 등 사생활 침해가 우려되는 것에 대해) 우리도 인지하고 있는 만큼 (부족한 점을) 보완하는 솔루션을 마련해 (가능한) 조만간 적용할 수 있도록 노력하겠다”는 입장을 전했다.

얼마 전 영국 BBC 방송의 보도로 신형 스마트폰 픽셀4의 얼굴 인식 기능 문제점이 부각된 구글 측도 “사용자가 스마트폰 잠금을 해제하기 위해 눈을 뜨도록 요구하는 옵션을 개발 중이며 향후 수개월 안에 소프트웨어 업데이트를 제공할 것”이라고 밝힌 바 있다.

삼성전자 스마트폰의 사용 설명서에서는 얼굴 인식을 할 때 눈을 뜨고 얼굴 인식을 하는 것으로 나와 있다. 삼성전자 스마트폰 사용 설명서 캡처

◆“이용자들에게 얼굴 인식 기능의 허점 충분히 설명해야” 목소리도

삼성 측이 소비자 보호를 위해 최소한 ‘눈을 감은 상태에서도 잠금이 해제될 수 있다’는 경고 문구를 추가해야 한다는 지적도 나온다.

정보통신(IT) 보안 분야 전문가인 김경환 법무법인 민후 대표변호사는 “(비슷한 얼굴와 이미지의 경우 잠금이 해제될 수 있다는 안내문만으론) 고지가 약하다”며 “소비자들은 얼굴인식을 통한 잠금 방식이 기존 비밀번호보다 안전하다고 생각하는 경향이 있는 만큼 소비자 보호차원에서 ‘감은 눈’을 통해서도 잠금이 해제될 수 있다는 안내가 필요하다”고 말했다.

검찰 출신인 법무법인 린 테크앤로 구태언 부문장(변호사)도 “(현재 상태로는) 주변 사람이 본인이 잠든 사이에 스마트폰의 잠금을 해제할 수 있는 취약점이 발생한다”며 “본인이 맞더라도 눈을 감을 경우 잠금이 해제될 수 있다는 경고, 즉 안내사항에 ‘감은 눈’에 대해 보충해 설명해야 한다”고 강조했다.

이복진·염유섭 기자 bok@segye.com

ⓒ 세상을 보는 눈, 세계일보