국감장에 나타난 '주민증 위조지문'...아이폰서 1분 만에 117만원 부정결제

글자 작게 글자 크게 인쇄하기
2018년 과학기술정보통신부 국정감사가 10일 경기도 정부과천청사에서 열렸다. 국회 과학기술정보방송통신위원회 송희경 자유한국당의원이 분실된 주민등록증 뒷면 지문으로 만든 실리콘지문과 점토로 아이폰 보안 해제 시연을 하고 있다. 이어 송 의원이 설치된 카드사 애플리케이션을 활용해 결제까지 시연했다.
김동욱기
<2018년 과학기술정보통신부 국정감사가 10일 경기도 정부과천청사에서 열렸다. 국회 과학기술정보방송통신위원회 송희경 자유한국당의원이 분실된 주민등록증 뒷면 지문으로 만든 실리콘지문과 점토로 아이폰 보안 해제 시연을 하고 있다. 이어 송 의원이 설치된 카드사 애플리케이션을 활용해 결제까지 시연했다. 김동욱기>

최첨단 스마트폰까지 주민등록증 뒷면에 코팅된 지문 위조 하나로 봉인이 해제됐다. 위조 지문으로 스마트폰에서 1분 만에 100만원 이상이 부정 결제되는 현장이 국정감사장에서 고스란히 재현됐다.

전자신문이 제기한 주민증 위조지문 보안 문제가 국정감사 현장에서 뜨거운 논란으로 떠올랐다. 정부는 위조 지문 전반에 걸친 실태 조사와 대안 마련을 약속했다. 본지 10월 2일·5일자 1면 참조

국회 과학기술정보방송통신위원회 소속 송희경 의원(자유한국당)은 10일 경기도 정부과천청사에서 열린 과학기술정보통신부 국감에서 “실리콘 지문으로 아이폰을 열 수 있을 뿐만 아니라 설치된 카드사 애플리케이션(앱)에서 117만원어치를 결제할 수 있다”며 이를 직접 시연했다.

국감장에서 송 의원은 위조된 실리콘 지문 인식으로 애플 아이폰을 직접 해킹해 보였다.

레이저 인쇄로 지문틀 만드는 모습(자료-송의경 의원실)
<레이저 인쇄로 지문틀 만드는 모습(자료-송의경 의원실)>

실리콘 지문을 만드는 것은 간단하다. 분실된 주민등록증 뒤에 나온 지문을 스마트폰으로 찍으면 굴곡이 생기고, 이를 본떠 실리콘 지문을 제작해 달라고 요청만 하면 된다. 제작에 10분이 채 안 걸리는 것으로 나타났다.

송 의원은 “실리콘 지문으로 야간 수당을 부적절하게 받은 사례가 적발된 바 있다”면서 “웹사이트 암시장에서는 실리콘 지문이 활발하게 유통돼 범죄에 악용될 위험성이 크다”고 지적했다.

송 의원은 “대안으로 혈류 감지 등 생체를 감지할 수 있는 것을 복합 개발하거나 전자 신분증을 만들어야 한다”면서 “조속히 대응해야 사건사고를 막을 수 있다”고 강조했다.

이번 시연에 앞서 전자신문은 위조 지문으로 전국 무인발급기와 간편 결제 앱을 사용하는 실험을 재현하고 이를 보도한 바 있다. 실제 금융 결제까지 위조 지문이 악용될 수 있다는 점이 부각됐다.

송 의원은 “최근 실리콘으로 위조된 고무찰흙 지문으로 주민센터 무인민원발급기 각종 민원서류뿐만 아니라 지문으로 인식되는 스마트폰, 결제페이 등이 모두 해킹돼 무단 사용이 실제 가능한 것으로 드러났다”고 지적했다.

실리콘으로 지문 도용하는 모습(자료-송희경 의원실)
<실리콘으로 지문 도용하는 모습(자료-송희경 의원실)>

일명 '페이크 지문'으로 불리는 위조 지문은 다크웹(딥웹) 상에서도 활발하게 거래되고 있는 것으로 알려졌다. 최근 5년 동안 주민등록증 분실 건수가 1000만건에 이르면서 이를 악용했을 경우 보안 마비가 올 수 있는 것으로 지적됐다. 주민등록증 뒷면 지문은 일반 복합기나 핸드폰 카메라를 통해 이미지를 스캔하고 레이저도장인쇄 기술을 이용하면 일반인도 손쉽게 지문 틀을 제작할 수 있다.

전문가들은 현재 지문을 비롯해 홍채와 안면 인식도 모두 이미지를 사용한 단순 매칭을 하는 기술을 쓰고 있어 위조 지문이나 위조 홍채(서클렌즈에 홍채 이미지 인쇄) 등에 취약하다고 지적했다.

송 의원은 “이런 보안 취약점을 막기 위해 미세 땀 기술, 체온, 심장 박동, 혈류 흐름 등을 체크하는 방법으로 실제 생체 정보인지 확인하는 기술이 필요하다”고 역설했다.

최근 과기정통부도 이런 문제점을 인지하고 관련 기술이 있는 기업에 연구 과제를 발주했다.

현재 주민증 관리 부처인 행정안전부는 위·변조 주민등록증 지문으로 민원서류 발급이 가능한지 전면 실태 조사에 착수, 종합대책을 수립할 계획이다. 정부 대표 사이트 '정부 24' 지문인증도 중단한 상황이다.

국감 현장에서 위조지문 문제가 불거지면서 이후 행안위 등 유관 정부 부처 국감에서도 보안 불감증 대책을 마련해야 한다는 여론이 지속 형성될 것으로 보인다.

송 의원은 “생체 인식 기술은 미래 인증 시장을 주도할 첨단 기술로서 다양한 위험에 철저히 대비해야 한다”면서 “현재 한국인터넷진흥원(KISA), 한국전자통신연구원(ETRI) 등에서 보안 기술 개발을 선도하고 있는 가운데 기술 적용을 서둘러야 한다”고 촉구했다. 송 의원은 “현재 국내에도 위조를 막는 보안 신기술을 개발했거나 개발하고 있는 중소기업 및 벤처기업이 있다. 이들 기업이 공정하게 평가받고 활약할 수 있는 생태계를 조성해야 한다”고 덧붙였다.

유영민 과기정통부 장관은 “계속 해킹하려는 자와 막으려는 자의 끊임없는 싸움”이라면서 “(송 의원이) 제시한 대안을 고려하겠다”고 답변했다.

길재식 금융산업 전문기자 osolgil@etnews.com, 박지성기자 jisung@etnews.com