아이폰·갤럭시폰, 위조 지문에 뚫렸다

English Translation

본지, 실리콘 지문 실험결과 기종 상관 없이 못잡아내



스마트폰 지문인증 결제가 가짜 지문으로 사용 가능한 것으로 나타났다. 이섬규 리얼아이덴티티 대표(왼쪽)와 연구원이 시연하고 있다.
 박지호기자 jihopress@etnews.com
스마트폰 지문인증 결제가 가짜 지문으로 사용 가능한 것으로 나타났다. 이섬규 리얼아이덴티티 대표(왼쪽)와 연구원이 시연하고 있다. 박지호기자 jihopress@etnews.com

지문을 위조해 만든 이른바 ‘페이크 지문’에 애플 아이폰과 삼성 갤럭시 폰이 뚫렸다. 애플페이와 삼성페이가 지문인증 방식을 채용했지만 페이크 지문을 잡아낼 방법이 없어 대안이 필요한 실정이다.

17일 전자신문은 리얼아이덴티티와 ‘페이크 지문’ 실험을 진행했다. 가짜 지문을 만들어 아이폰 6S기종과 삼성 스마트폰 대상으로 본인 인증과 결제 승인을 시도했다. 결과는 기종과 상관 없이 실리콘으로 덧댄 가짜 지문을 잡아내지 못했다. 실리콘 지문으로 스마트폰 결제가 가능하다는 의미다.

스마트폰에 내장된 지문센서가 2차원 이미지를 추출해 실제 지문과 비교하는 형태로만 역할하기 때문이다.

페이크지문 추출 방법도 간단했다. 목공용 접착제와 경화성 실리콘만 있으면 1시간 만에 만들 수 있다. 경화성 실리콘에 사람 지문을 덧대어 지문 틀을 만든 후 목공용 접착제로 겉면을 도포시키면 일정 시간 경과 후 투명하게 굳는다. 실제 지문과 동일한 지문을 분리해 얻어진다.

지문인증은 생체인증 방법 가운데 대안으로 꼽힌다. 하지만 복제 사고가 발생하면 사태가 심각해질 뿐만 아니라 원상 복구도 어렵다.

현재 채택한 지문인증으로는 광학식, 정전식, 초음파 방식이 있다. 이들 방식은 기술이 조금씩 다르지만 손가락 끝 부분 표피의 산과 골로 이뤄진 무늬에 대한 2차원 이미지를 이용하는 것은 비슷하다. 스마트폰 제조사는 이 3가지 방식 가운데 하나를 채택했고, 페이크 지문 여부를 판독할 수 있는 기술은 아직 없다.

더욱 큰 문제는 애플이나 삼성전자 기종은 애플페이, 삼성페이를 지문과 연동해 모바일결제를 한다는 점이다. 현재까지 모바일결제에 실리콘 지문을 악용한 사례는 발견되지 않았지만 실리콘 지문을 악용해 범죄를 저지른다면 타격이 크다. 특히 많은 금융사가 비대면 인증방식 도입을 앞두고 있어 이를 악용한 금융범죄 출현 가능성은 상당히 높다.

이섬규 리얼아이덴티티 대표는 “이미 해외에서는 페이크지문이 암거래되는 경우도 있고, 애플페이에 악용하는 사례도 등장하고 있다”고 분위기를 전했다.

국내 또한 지문 위변조 사고가 속속 발생하고 있다. 실리콘 손가락으로 공무원들이 야간수당을 부정 수급하다가 적발되는가 하면 50억원대 부동산 사기 사건에도 페이크 지문이 악용됐다. 접착제로 만든 가짜 지문으로 입국심사를 통과한 사례도 있다.

보안 전문가들은 지문이 보유한 2차 생체 정보, 즉 혈류 흐름이나 땀 등을 활용해 이중 체크하는 방안을 상용화해야 한다고 지적했다.

현재 생체인식 센서는 2~3차원 이미지 정보에서 특이점을 추출해 데이터베이스와 비교하는 방식이기 때문에 이미지 정보만 구하면 복제가 쉽게 이뤄진다.

지문이 핀테크와 사물인터넷(IoT), 웨어러블기기, 스마트의료 등 IT융합 서비스 수단으로 활용 범위가 넓어지고 있어 페이크 지문에 대한 대안 마련이 시급하다.

길재식 금융산업 전문기자 osolgil@etnews.com