스마트폰 지문 센서... 미국 연구진 '마스터 지문'으로 쉽게 잠금 해제

최근 들어 스마트폰에 우후죽순격으로 도입되는 지문인식 기술에 많은 허점이 있다는 주장이 제기됐다.

미국 뉴욕대와 미시간주립대 연구자들은 인간 지문의 많은 공통 요소를 혼합한 가짜 지문으로 스마트폰을 쉽게 뚫을 수 있다는 사실을 발견했다고 뉴욕타임스 등이 11일(현지시간) 보도했다.

마스터키 같은 인공 "마스터 지문"으로 지문 스캐너의 최대 65%를 속일 수 있었다고 연구진은 설명했다.

온전한 지문은 위조하기 어렵지만, 스마트폰 지문 스캐너는 크기가 작으므로 지문의 일부만 읽는다. 엄지손가락을 1차례만 갖다 대도 되게 하기 위해서다.

사용자가 애플 아이폰이나 구글 안드로이드 기반 스마트폰에서 지문 보안을 설정할 때는 대조가 쉽도록 8∼10개의 지문 이미지를 등록한다. 또한, 많은 이용자는 손가락 1개 이상을 저장한다.

손가락을 댈 때 보관된 이미지 가운데 1개만 일치해도 잠금 해제가 가능하므로 시스템은 가짜 지문에 취약하다.

이번 논문의 저자 가운데 한 사람인 나시르 메몬 뉴욕대 컴퓨터공학 교수는 "당신이 암호를 30개 설정했는데 공격자는 1개만 일치시키면 되는 것과 같다"고 설명했다.

그는 손가락마다 마스터 지문이 있는 장갑이 있다면 숫자 암호가 요구되기 전에 5차례 이내의 시도로 40∼50%의 아이폰을 잠금 해제할 수 있다고 말했다.

스마트폰 메이커들도 지문 센서가 절대 뚫리지 않는다는 것은 아니라고 인정한다. 하지만 손가락만 대면 되는 편리함 때문에 사용자들이 스마트폰을 잠그지 않고 내버려두는 대신 보안 기능을 켜두는 효과가 있다고 말했다.

미국 연방정부의 생체보안 관련 프로그램에 참여하는 크리스 보에넌 박사는 더 큰 지문 센서를 적용하면 위험을 줄일 수도 있다고 했다. 또 홍채 스캐너 같은 더 새로운 생체 보안 방식이 더 안전할 것이라고 덧붙였다.

그는 이용자들이 모바일 결제 같은 가장 민감한 앱에서는 지문 인증 기능을 꺼 스스로를 지킬 수 있다고 조언했다.