삼성 갤럭시 S10/노트10 지문인식 취약점, 아무나 푼다
패치로 될까?
2019.10.13일, The Sun은 Samsung Galaxy S10과 Note 10의 지문인식 기능이 뚫렸다고 보도했다. 이 기사를 처음 봤을 때는 대충 읽어 넘겼다. 지문인식을 비롯한 생체인증에 대한 우회 시도는 보안 전문가나 호기심 많은 사람들에 의해 늘 있어왔기 때문이다. 그리고 더 선은 제도권의 눈치를 보지 않고 통쾌한 기사를 날리기도 하지만, 황당한 기사도 곧잘 내기 때문에 전적으로 신뢰하기는 어려운 source인 점도 고려했다. 그러나 각종 IT 전문 매체들의 후속 보도를 보니 문제가 심각하다는 것을 알게 됐다.해당 기종의 지문인식 모듈은 일반적인 광학식이 아니라 초음파를 이용한다. 이론적으로는 더 진보된 방식이라 한다. 그러나 실제로는 출시 초부터 인식 오류로 많은 문제를 일으켰다. 정당한 지문을 제대로 인식하지 못해 3~4번씩 반복해야 하는 일이 잦았다. 삼성의 서비스 포털에서는, 손가락에 입김을 불거나 물티슈로 닦아 촉촉하게 한 후 다시 해보라는 애처로운 해법을 제시하기도 했다.
결국 삼성은 인식률 개선을 위해 소프트웨어 업데이트를 했는데, 이것이 문제를 초래한 것이다. 등록되지 않은 아무 손가락이나 다른 사람의 손가락, 심지어는 고구마나 고무 인형 같은 물체로도 지문인식이 해제되는 결과를 초래했다. 도트 문양이 있는 실리콘 케이스 조각을 지문인식 센서 앞에 덧대기만 하면. 하드웨어적인 결함이나 성능 미달을 소프트웨어적으로 해결하려다가 더 큰 문제를 초래한 경우라고 생각한다.
사건 초기에는 사용자의 과실로 몰아가는 분위기가 커뮤니티 사이트들에 있었다. 지문 등록 시에는 화면 전면을 덮는 케이스를 사용하지 않거나 공인된 케이스만을 사용해야 한다는 것이다. 그러나 이 사실이 널리 알려지자, 케이스 없이 선명하게 등록된 지문일지라도, 나중에 인증 시도시 실리콘 조각을 화면의 센서 부분에 덧대면 무단 인증이 가능하다는 것이 밝혀졌다.
타 기종에서도 지문 인식이나 얼굴 인식 같은 생체 인증을 우회하려는 시도는 계속되고 있다. 그러나 이들은 정당한 지문을 복제하거나 고해상도 얼굴 사진을 이용하는 등 어느 정도 노력이 필요하다. 아무나 맘만 먹는다고 할 수 있는 것은 아니다.
반면 해당 기종의 경우에는, 시중에서 쉽게 구할 수 있는, 몇 백~몇 천 원짜리 싸구려 실리콘 케이스만 있으면 아무나 잠금을 해제하고, 금융 거래도 할 수 있다. 현실적인 위협인 것이다. 카카오뱅크 등 금융권에서도 갤10 등 문제 기종은 지문 인식 기능을 해제하라는 경고를 냈다.
삼성은 문제를 인정하고 소프트웨어 패치를 하기로 했다. 며칠 내로 나올 예정이다. 그러나 패치로 문제가 완전히 해결될 지는 미지수다. 단순히 소프트웨어 버그로만 보기에는 이해가 되지 않는 면이 있다. 고구마 같이 지문 비슷한 것도 없는 물체를 어떻게 오인할 수 있단 말인가.
그리고 특정 물질로 쉽게 교란될 수 있다는 사실만으로도 신뢰성은 크게 훼손된 것이다. 인증 수단의 신뢰성이란 정당한 시도를 오류없이 인증해야 하고, 부정한 시도는 오류없이 차단해야 함을 말한다.
문제 기종 사용자는 패치 후라도 관련 소식을 주시하며, 더는 문제가 없는지 확인해야 한다. 그리고 중요한 정보를 많이 다루는 사용자라면, 지문 인식 기능을 계속 사용할지 신중히 생각해 봐야겠다.
참고 자료
댓글
댓글 쓰기