출력한 눈동자 사진에 콘택트렌즈 올려 인식하니 바로 뚫려
홍채 정보 입수할 방법 많고, 다른 생체 인증도 보안 우려 커

[보안뉴스 오다인 기자] 삼성전자가 올해 선보인 최신 스마트폰 갤럭시 S8의 홍채 인증이 독일 해커들에 의해 간단히 뚫렸다고 23일(현지시간) 시큐리티위크 등 다수의 외신이 보도했다.

갤럭시 S8은 안면 인식, 지문 인식, 홍채 인식 등을 포함한 생체 인증 시스템을 갖췄는데, 특히 홍채 인식을 통해 기기의 잠금을 해제하고 결제까지 진행할 수 있게 설계됐다. 갤럭시 S8을 출시하며 삼성은 “휴대전화를 잠금 해제하는 가장 안전한 방법”이라며 대대적으로 홍보한 바 있다.


▲독일 CCC 해커가 홍채 사진으로 인증에 성공하는 장면 [사진 = CCC 영상 캡처]

독일의 카오스 컴퓨터 클럽(CCC) 해커들은 갤럭시 S8 홍채 인식을 간단하게 뚫는 영상을 촬영해 공개했다. 영상 속 남성은 1)얼굴 사진을 촬영한 다음, 2)해당 사진을 출력하고, 3)출력물의 눈동자 부분 위에 콘택트렌즈를 올려, 4)갤럭시 S8 홍채 인식 화면에 노출시키는데, 이때 갤럭시 S8이 바로 잠금 해제되는 것을 확인할 수 있다.


이 해커들은 영상에서 200밀리미터 렌즈의 카메라로 약 5미터 거리에서 촬영해도 홍채 인식에 사용할 만한 사진을 얻을 수 있다는 것을 보여준다. 이들은 “사진의 질에 따라 밝기나 대조가 조정돼야 할 수도 있다”고 말했다.

전문가들은 홍채 정보를 입수하는 방법은 다양하게 존재하며, 사용자들이 인터넷에 스스로 올린 고화질 사진들도 이에 포함된다고 말한다. 독일 해커들이 영상에서 사용한 방법처럼 디지털 카메라를 이용해 목표 대상의 눈을 ‘야간촬영모드’로 촬영하거나 적외선 필터를 끄고 촬영하는 것도 홍채 정보를 얻는 방법이라고 전문가들은 설명했다.

최근 들어 금융업계 등에서 생체 인증이 점차 더 많이 도입되는 추세지만, 이에 대한 안전성이나 보안 우려는 해결되지 않는 상황이다. 비슷한 사례로 최근 HSBC은행이 “각 개인들의 고유한 목소리를 활용”한 자사의 음성인식 시스템이 안전하다고 홍보한 바 있지만, 이후 BBC의 한 기자가 쌍둥이 형제의 목소리를 통해 음성인식에 성공한 사실이 보도돼 논란이 됐다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>