머니투데이

머니투데이 페이스북 머니투데이 트위터
통합검색

오늘의 증시

오늘의 증시
코스피 코스닥 원/달러
2339.17 827.84 1115.30
▲15.72 ▲6.71 ▼5.1
메디슈머시대 (7/6~미정)
블록체인 가상화폐

비밀번호 대신 보안 강한 지문인식도 빈틈이…

[쉿!보안노트]<42> 단순한 실리콘 지문 외에도 해킹 기법도 갈수록 고민

진달래의 쉿! 보안노트 머니투데이 진달래 기자 |입력 : 2015.05.03 09:00
폰트크기
기사공유
편집자주언제 어디서나 '온라인(Online)' 상태로 사는 세상이다. 2020년 대한민국 한 사람이 사용하는 평균 모바일 기기 수가 11개까지 증가할 것이라는 전망도 나온다. 사람도 물건도 모두 실시간으로 연결되는 삶은 편리한 만큼 불안하기도 하다. 알리고 싶지 않은 나의 각종 정보들이 온라인 공간에 흘러 다니고 있는 것은 아닐까. 빠른 변화 속도에 밀려 일상생활에서 간과하고 넘어가던 보안 정보를 쉽게 풀어본다.
비밀번호 대신 보안 강한 지문인식도 빈틈이…
소방관 동료 임모씨(59)와 이모씨(58)는 야근을 한 것처럼 속여 수당을 타낼 방법이 없을까 머리를 맞대다가 기발한 방법을 찾았다. 지문 인식을 통해 출퇴근 도장을 찍는 시스템을 속이기 위해 일명 '가짜 손가락'을 생각해냈다.

실리콘을 이용해 손가락 본을 뜬 후에 부하 직원들을 시켜 자신들이 근무하지 않는 시간에도 근무 도장을 찍도록 한 것이다. 2012년부터 이러한 방식으로 야근 수당을 부당하게 받아왔지만, 지난 2월 동료 직원이 투서를 쓰기 전까지 문제가 없었다.

최첨단 보안 기술로 여겨지는 지문 인증 방식에도 이처럼 허점은 있다. 보안업계는 지문 등 생체인증이 편리하고 보안성이 높다고 하지만 해커들이 뚫고 들어갈 빈틈을 간과해서는 안된다고 조언한다.

야근 수당을 빼돌린 소방관들처럼 지문을 본뜬 물체를 직접 만드는 정도는 초보적인 단계다. 이를 방지하기 위해 최근 지문 인식 솔루션은 사람의 손가락이 맞는지 보기 위해 전기가 흐르는 지 등을 확인하기도 한다.

한 단계 높은 보안 위협은 지문 데이터를 훔쳐내려는 해커들의 사이버 공격이다. 비밀번호는 변경할 수 있지만 지문은 변경이 안되다는 점에서 유출 시 문제는 더욱 심각해진다.

지난주 미국에서 열린 보안컨퍼런스 'RSA 2015'에서 글로벌 보안기업 파이어아이 소속 한 보안전문가가 관련 내용을 발표하면서 화제가 됐다.

그는 애플리케이션 과정 내부에 쌓여있는 지문 데이터를 노리는 대신 지문 인식 센서 데이터를 훔쳐낼 수 있다고 발표했다. 해커가 모바일 운영체제(OS) 핵심 부 공격에 성공하면 지문 센서 데이터를 읽어내 어떤 용도로도 지문 데이터를 활용할 수 있게 된다.

만약 해커가 이용자 스마트폰에 악성코드를 심어서 잠금 화면으로 위장한 화면을 띄우고 지문 인증을 하라고 이용자에게 요구하면 어떻게 될까. 이용자가 의심 없이 손가락을 스마트폰에 대는 순간 해당 지문을 읽어낸 데이터는 해커 손에 넘어가게 된다.

보안업계에 따르면 지문 인증에 대한 해커의 공격에 대비하기 위해서는 우선 제조사나 정부 등이 끊임없이 보안 취약점을 찾아내 개선하는 일이 가장 중요하다. 개인 사용자는 SW(소프트웨어)를 자주 패치하는 제조사 제품을 쓰고 OS를 정기적으로 업그레이드 하는 것이 좋다. 악성코드 감염을 막기 위해서는 공식적인 마켓에서 신뢰도가 높은 앱(애플리케이션)만 사용하는 습관도 중요하다.

진달래
진달래 aza@mt.co.kr

더 나은 사회를 위해 현장을 생생하게 전달하겠습니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%


오늘의 주요뉴스




종료된칼럼

베스트클릭

실시간 급상승

10.0초

5분간 수집된 조회수 기준

오늘의 운세

많이 본 뉴스