쉽게 못 풀걸?…삼성, 그림으로 휴대폰 잠근다

지난 7일 서울 중구 KT스퀘어에 삼성전자의 '갤럭시 노트20'이 전시돼 있다. /사진=이기범 기자

삼성전자 (77,200원 ▲900 +1.18%)가 향후 출시될 스마트폰 모델에서 잠금화면 보안 방식을 그림으로 바꾸려는 연구를 진행 중이라고 18일 밝혔다. 검찰·경찰 등 수사기관도 애 먹을 정도로 화면 잠금을 풀기 훨씬 어렵다는 아이폰의 '철통 보안' 아성에 갤럭시가 도전하는 모양새다.

삼성전자는 코로나19로 인해 18일 온라인으로 진행한 '제4회 삼성보안기술포럼(SSTF)에서 '프리폼 제스처 인증'(Freeform Gesture Authentication·이하 '프리폼 인증') 기술을 소개했다.


이는 삼성전자 산하 삼성리서치의 시큐리티팀 연구원들이 올해 S&P 2020에 논문을 통해 발표한 최신 기술이다.
직선 대신 그림으로 인증…"경우의 수 늘렸다"

삼성전자가 18일 '제4회 삼성보안기술포럼(SSTF)'에서 소개한 '프리폼 제스처 인증' 예시 화면. /사진=SSTF 유튜브 중계 화면 갈무리

연구팀은 기존 갤럭시 모델에서 자주 쓰이던 '3×3 패턴 인증'보다 프리폼 인증의 보안성이 더 높다고 설명했다. '3×3 패턴'은 정사각형 모양으로 3개씩 배열된 9개의 점을 4개 이상 이어 만드는 인증 방식이다.

이에 비해 프리폼 인증은 정사각형 모양 공간에 스마트폰 사용자가 마음대로 그림을 그려 만든 자신만의 패턴으로 인증하는 방식이다. 입력 공간이 한정적인 '3×3 패턴'보다 산술적인 경우의 수가 훨씬 많을 수밖에 없는 방법이다.

특히 연구팀은 사람들이 자주 사용해 보안이 뚫릴 수 있을 만한 그림 패턴 20가지를 1만3000명의 표본에게 실험해서 뽑아냈다. 그리고 이 그림과 비슷한 모양은 인증 패턴으로 그릴 수 없게 했다.


그랬더니 보안이 뚫릴 확률이 기존 '3×3 패턴'보다 절반 가량 줄었다는 설명이다. 연구팀은 "프리폼 인증 자체도 보안이 뚫릴 확률은 3×3 패턴 인증과 비슷했지만 20개 패턴을 제외시켰더니 보안이 뚫릴 확률이 감소했다"고 설명했다.
철옹성 아이폰 핀번호, 갤럭시도 쓰지만…

아이폰에서 비밀번호를 반복해서 틀리면 나오는 안내 문구. 되풀이 될 수록 재시도 시간이 길어진다. /사진=애플

삼성전자가 아직 연구 단계인 이 기술을 어떻게 상용화할 지는 아직 정해지지 않았다. 프리폼 인증은 최신작인 갤럭시 노트 20 등에도 적용 안 된 기술이다.

다만 이같은 연구를 하게 된 배경에는 잠금화면 인증 보안성 측면에서 아이폰과 갤럭시를 비교하는 여러 시선 때문인 것이라는 해석이 나온다.

아이폰의 잠금을 풀 때에는 핀(PIN) 번호라는 6자리 비밀번호가 꼭 있어야 지문 인증이든 얼굴 인증이든 풀 수 있다. 핀 번호의 경우의 수는 560억 개에 달하는데 몇 차례 계속 틀리면 아이폰이 초기화되기도 한다. 서울중앙지검의 검언유착 의혹 사건에서 수사팀이 한동훈 검사장의 아이폰을 압수하고도 이를 풀지 못하면서 눈길을 끈 바 있다.

갤럭시 시리즈 역시 핀 번호를 쓰지만 몇 차례 틀렸다고 초기화되거나 하지는 않는다. 그리고 지문 인증 등을 쓸 때 다른 인증 방법을 병행 사용하도록 할 때 '3×3 패턴' 인증을 써도 된다.

삼성전자 관계자는 본지와 통화에서 "기존보다 보안을 향상하기 위해 선행 연구하는 단계"라며 "언제 어느 제품에 어떻게 적용할지는 아직 말할 단계는 아니다"라고 말했다.
화면 작은 '갤럭시 워치' 위한 인증 신기술도

삼성전자가 18일 '제4회 삼성보안기술포럼(SSTF)'에서 소개한 'PIC 비밀번호 인증' 예시 화면. /사진=SSTF 유튜브 중계 화면 갈무리

삼성전자는 이날 갤럭시 워치 같은 스마트 워치에 쓰일 수 있는 새로운 인증 기술 'PIC(Personal Identification Chord·이하 '픽 비밀번호')'도 소개했다. 밭전(田)자 모양으로 배열된 네 개 버튼을 눌러 만드는 인증 방식이다.

스마트워치가 화면이 작아 기존 잠금 인증 방식인 6자리 핀번호나 '3×3 패턴'을 사용하기 불편하다는 단점을 보완하기 위한 방식이다.

픽 비밀번호는 네 개 버튼을 네 번 눌러 만드는 비밀번호다. 비밀번호를 누르는 방법에는 총 10가지 경우의 수가 있다. 한 번에 한 개씩 누르는 방법 네 가지와 두 개 버튼을 동시에 누르는 조합 여섯 가지(가로 방향 두 가지·세로 방향 두 가지·양 대각선 방향 두 가지) 등이다. 산술적으로 1만 가지 경우의 수가 생기는 방법이다.

이를 발표한 삼성리서치 시큐리티팀 관계자는 "기존 핀 번호 입력 수준과 보안 취약성이 동등한 수준이었다"고 말했다.