비밀번호 대신 보안 강한 지문인식도 빈틈이…

머니투데이

진달래 기자

소방관 동료 임모씨(59)와 이모씨(58)는 야근을 한 것처럼 속여 수당을 타낼 방법이 없을까 머리를 맞대다가 기발한 방법을 찾았다. 지문 인식을 통해 출퇴근 도장을 찍는 시스템을 속이기 위해 일명 '가짜 손가락'을 생각해냈다.

실리콘을 이용해 손가락 본을 뜬 후에 부하 직원들을 시켜 자신들이 근무하지 않는 시간에도 근무 도장을 찍도록 한 것이다. 2012년부터 이러한 방식으로 야근 수당을 부당하게 받아왔지만, 지난 2월 동료 직원이 투서를 쓰기 전까지 문제가 없었다.

최첨단 보안 기술로 여겨지는 지문 인증 방식에도 이처럼 허점은 있다. 보안업계는 지문 등 생체인증이 편리하고 보안성이 높다고 하지만 해커들이 뚫고 들어갈 빈틈을 간과해서는 안된다고 조언한다.

야근 수당을 빼돌린 소방관들처럼 지문을 본뜬 물체를 직접 만드는 정도는 초보적인 단계다. 이를 방지하기 위해 최근 지문 인식 솔루션은 사람의 손가락이 맞는지 보기 위해 전기가 흐르는 지 등을 확인하기도 한다.

한 단계 높은 보안 위협은 지문 데이터를 훔쳐내려는 해커들의 사이버 공격이다. 비밀번호는 변경할 수 있지만 지문은 변경이 안되다는 점에서 유출 시 문제는 더욱 심각해진다.

지난주 미국에서 열린 보안컨퍼런스 'RSA 2015'에서 글로벌 보안기업 파이어아이 소속 한 보안전문가가 관련 내용을 발표하면서 화제가 됐다.

그는 애플리케이션 과정 내부에 쌓여있는 지문 데이터를 노리는 대신 지문 인식 센서 데이터를 훔쳐낼 수 있다고 발표했다. 해커가 모바일 운영체제(OS) 핵심 부 공격에 성공하면 지문 센서 데이터를 읽어내 어떤 용도로도 지문 데이터를 활용할 수 있게 된다.

만약 해커가 이용자 스마트폰에 악성코드를 심어서 잠금 화면으로 위장한 화면을 띄우고 지문 인증을 하라고 이용자에게 요구하면 어떻게 될까. 이용자가 의심 없이 손가락을 스마트폰에 대는 순간 해당 지문을 읽어낸 데이터는 해커 손에 넘어가게 된다.

보안업계에 따르면 지문 인증에 대한 해커의 공격에 대비하기 위해서는 우선 제조사나 정부 등이 끊임없이 보안 취약점을 찾아내 개선하는 일이 가장 중요하다. 개인 사용자는 SW(소프트웨어)를 자주 패치하는 제조사 제품을 쓰고 OS를 정기적으로 업그레이드 하는 것이 좋다. 악성코드 감염을 막기 위해서는 공식적인 마켓에서 신뢰도가 높은 앱(애플리케이션)만 사용하는 습관도 중요하다.