갤S8 홍채인식, 카메라·프린터·콘택트 렌즈로 해킹

카메라와 레이저 프린터, 렌즈만으로 뚫어…생체인식 보안 취약성 입증 

카오스 컴퓨터 클럽 갤럭시S8 홍채인식 해킹 성공

카메라로 홍채 사진 찍어 프린터로 인쇄하고 콘택트 렌즈 올려

"지문인식보다 홍채인식이 더 보안 취약 …사진만으로 가능"

지난 5월23일 가디언은 삼성전자 갤럭시S8의 홍채인식 기능이 독일 해커단체에 의해 뚫렸다고 보도했다. 홍채인식 해킹에 이용된 것은 사진과 레이저프린터, 콘택트렌즈다.

독일의 해커단체 ‘카오스컴퓨터클럽(CCC)‘은 1분짜리 영상을 통해 갤럭시S8의 홍채스캐너를 해킹하는 모습을 공개했다. 해킹 수단은 단순했다. 카메라로 사람의 홍채를 촬영해 레이저 프린터로 사진을 출력 후 그 위에 콘택트렌즈를 올려 가짜 눈을 만드는 방식이다. 이 단체는 SNS에 올라온 사진을 이용해 해킹하는 것도 가능하다고 주장했다. 또 야간모드로 촬영된 사진이 가장 잘 인식됐다고 밝혔다.

더크 잉글링 CCC 대변인은 “홍채가 지문보다 많이 노출되기 때문에 홍채인식으로 인한 보안 위험이 지문인식보다 더 크다”라며 “휴대폰에 저장된 데이터를 소중히 하고 휴대폰을 결제수단으로 사용하려면 생체인증보다 핀 보호 기능을 사용하는 게 안전하다”라고 말했다.

이번에 공개된 홍채인식 해킹은 당시 지문 복제 방식보다 훨씬 간단하다. CCC 측은 “홍채인식을 해킹하는데 가장 큰 비용이 든 것은 갤럭시S8 구매였다”라며 “아이러니하게도 삼성 레이저프린터를 이용해 최상의 결과를 얻었다”라고 말했다.

삼성전자는 홍채인식 기술을 자사가 개발한 생채인식 기술 중 가장 안전하다고 자신해왔다. 삼성전자의 생체인증 서비스인 ‘삼성패스’뿐만 아니라 최근 서비스를 시작한 인터넷 전문은행을 포함한 대부분의 은행 모바일뱅킹 서비스도 홍채인증으로 쉽고 안전하게 이용할 수 있다. 특히 한국인터넷진흥원, 인증기관과의 협력을 통해 공인인증서도 홍채인증으로 사용할 수 있도록 했다.

가디언은 “생체인식이 비밀번호보다 편리하고 도용하기 어렵지만 복제될 경우 사용자가 자신의 생체를 변경할 수 없다”라며 이번 홍채인식 해킹을 계기로 생체인증 방식 보안에 대한 논란이 더 거세질 것으로 전망했다.

홍채인식에 대한 보안이 시급하네요.

이번 가디언의 기사에 따르면 사진의 홍채를 복사해도 해킹이 된다고 합니다. 그리고 지문보다 더 많이 노출되는게 홍채라고 합니다. 이는 홍채정보를 일반적인 보안방식보다 쉽게 구해서 해킹이 가능하다는 것입니다.

홍채인식 보안에 대하여 다시 한번 고려해야만 할 상황입니다.