파악된 패턴을 그리고, 그 위에 왁스 입혀 손 완성...인증 성공
[보안뉴스 문가용 기자] 생체 인증 기능을 탑재한 장비와 보안 시스템들이 점점 늘어나고 있다. 지문 센서를 장착한 기기들이 한동안 나오기 시작하더니 아이폰의 페이스ID(FaceID)가 등장하면서 어느 덧 안면 인식이 대세로 바뀌기도 했다. 그러나 지문이든 안면이든 그 어떤 것보다 단단할 줄 알았던 생체 인증 기술들이 뚫리는 사례가 등장했다.
[이미지 = iclickart]
다양한 생체 인증 기술 중에는 정맥 인증이라는 것도 있는데, 이름 그대로 손의 피부 밑에 있는 정맥의 크기와 모양, 위치를 스캔해서 로그인 시켜주는 기술을 말한다. 안면 인증 기술을 뚫은 쌍둥이라도 정맥까지 같을 순 없고, 투명 테이프나 고화질 사진으로 지문을 뜨는 것처럼 정맥 지도를 본 딸 수도 없는 것이라 꽤나 안전한 것으로 인식되고 있다.
그러나 일부 해커들이 이 정맥 인증 기술을 농락하는 법까지도 개발해냈다. 독일 라이프치히에서 매년 열리는 카오스 커뮤니케이션 콩그레스(Chaos Communication Congress, CCC)에서 보안 전문가들이 왁스로 가짜 손을 만들어 정맥 센서를 속이는 과정을 시연한 것이다.
스타버그(starbug)라는 이름으로 활동하는 보안 전문가 얀 크리슬러(Jan Krissler)는 “아주 간단하고 값이 싼 재료로 고차원적이고 값비싼 보안 기능을 무력화시킬 수 있다는 사실은, 여러 사람을 불편하게 만들 수 있다”고 말을 시작했다. 크리슬러는 동료인 줄리안 알브레히트(Julian Albrecht)와 함께 정맥 인증 시스템을 연구해왔다고 한다.
크리슬러는 머더보드(Motherboard)와의 인터뷰를 통해 “정맥은 피부 아래에 있기 때문에 공격자가 해당 정보를 가져간다는 게 상당히 어려우며, 따라서 정맥 인증 기술은 꽤나 뚫기 어려운 것처럼 인식되어 있다”고 설명했다. 하지만 두 연구원은, ‘정말 뚫기가 그렇게 어려운 것일까?’라는 의심을 가지고 연구를 시작했다고 한다.
CCC의 발표에서 크리슬러와 알브레히트는 “먼저 저희의 정맥이 나타나는 부분을 고화질 사진으로 찍었다”고 설명했다. 다만 이 때 적외선 필터를 제거했다고 한다. “그래야 피부 아래에 있는 정맥의 패턴이 보이니까요. 카메라 렌즈 옵션을 이렇게 조정하고 나니 5미터 바깥에서 사진을 찍어도 되더군요.” 된다는 말은 그렇게 찍은 사진을 가지고 정맥 인증 장치를 통과했다는 것이 아니라 정맥의 패턴이 드러났다는 것이다.
그런 후 둘은 사진을 가지고 왁스로 손을 만들었다. 당연히 정맥의 패턴을 상세하게 적용하는 걸 잊지 않았다. 패턴을 하얀 바탕에 그리고, 그 위에 왁스로 피부처럼 입혔더니, 스캐너가 이를 손으로 인식했다. 로그인에 성공한 것이다. “생각보다 해킹 과정이 너무 쉬워서 놀랐습니다.”
크리슬러와 알브레히트는 자신들의 연구 내용을 먼저 후지쯔와 히타치에 알렸다. 히타치는 곧바로 답장을 보냈고, 크리슬러와 알브레히트는 초대를 받아 여러 임직원들 앞에서 프레젠테이션을 했다. 그러나 후지쯔는 아무런 대답이 없었다고 한다.
이 연구에 걸린 시간은 약 한 달 정도다. 즉, 자원이 풍부하고 실력이 출중한 해킹 단체라면 CCC에서 발표된 내용만 가지고도 충분히 비슷한 결과물을 낼 수 있다는 뜻이다. “저희 연구를 그대로 복제할 수 있을 뿐만 아니라 한두 단계 업그레이드까지 시킬 수 있겠죠. 또한 대량 생산이 될 수도 있습니다. 정맥 인증으로 보호된 시설물이나 지역에 가짜 손을 가진 자들이 출현하기 시작한다면, 심각한 사태가 벌어질 수 있습니다.”
그러면서 크리슬러는 “생체 인증 시장은 항상 군비 경쟁 체제에 놓여 있는 것 같다”고 설명한다. “방어자들은 더 나은 전략과 기술을 끊임없이 도입하고, 공격자는 그에 맞는 공격법을 발견해내죠. 그럼 거기에 방어자들도 대응을 하고요. 돌고 돕니다.”
3줄 요약
1. 지문이나 안면보다 안전한 것으로 알려져 있는 정맥 인증 기술.
2. 지문과 안면보다 더 안전하다는 게 사실일지 모르나 해킹 불가능한 건 아님.
3. 정맥 지도 정교하게 그리고 왁스를 피부처럼 입혔더니 정맥 스캐너 무사통과.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>