(사진=카오스 컴퓨터 클럽 유튜브 화면 캡처)
삼성전자의 전략 스마트폰 갤럭시 S8이 채택한 홍채인식 보안시스템을 뚫었다는 독일해커 그룹의 주장이 나왔다.
삼성은 이런 일은 실험실에서나 제한적으로 가능할 수 있으며 실제 사용환경에서는 일어날 수 없는 일이라는 입장이지만 그래도 보안은 더 강화하기로 했다.
영국의 가디언은 '삼성 갤럭시 S8 홍채인식, 독일 해커에 무력화'라는 제목의 현지시간 23일자 기사에서 현존 보안 기술 가운데 가장 안전하다는 홍채인식 기술이 뚫렸다는 주장이 나왔다고 보도했다.
독일의 해커그룹인 CCC(카오스 컴퓨터 클럽)이 삼성 갤럭시 S8의 홍채인식 시스템을 해킹하는 모습을 담은 1분 짜리 영상을 공개했다는 것.
여러번 편집된 것으로 보이는 이 동영상에서 해커들은 적외선 촬영이 가능한 소니의 구형 디카로 사용자의 홍채 사진을 찍은 뒤 이를 레이저 프린터로 출력했다.
이를 다시 컨택트 렌즈에 얹어 갤럭시 S8의 홍채인식 부위에 비췄더니 락이 풀렸다는 내용이다.
출력된 적외선 홍채사진을 평면에 붙이면 홍채로 인식하지 않을 수 있기 때문에 눈을 닮은 컨텍트렌즈에 붙였다는 것이다.
이 해커들은 아이폰 5s가 나왔을때 몃주만에 아이폰의 지문인식 보안을 뚫었던 사람들로 이번 해킹 과정에 '삼성의 프린터'를 썼다고 밝혔다.
가이언은 이번 해킹이 매우 단순했다며 페이스북에 올린 사진과 보통 레이저 프린터, 컨택트렌즈만 있으면 가능하다고 보도했다.
또 해커들의 말을 빌어서 홍채인식보안이 지문인식 보안보다 불안하며 금융결제 등을 위해서는 '핀보안' 방식을 쓰는게 좋다고 조언까지 하고 있다.
그렇다면 이런 형태의 홍채해킹이 가능한가? 답은 '이론적으로는 가능하다는 것'이다.
다만 여기에는 실험실 환경이라는 제약조건이 있다고 삼성은 설명했다.
삼성관계자는 CBS노컷뉴스와의 통화에서 (해커들 처럼) "누군가가 살아 있는 사람의 홍채를 근거리에서 그것도 적외선 촬영기능이 있는 카메라로 동공을 확대해서 찍어야 한다"면서 "또 그렇게 홍채를 찍힌 사람의 갤럭시 S8 스마트폰을 가지고 있어서 앞서 찍은 사진을 인쇄해 컨택트렌즈에 붙여 폰에 댈때나 가능한일"이라고 말했다.
실제로는 거의 일어나기 어렵다는 것이다. 예를들어 갤럭시 S8을 가지고 홍채보안을 쓰는 사용자 '홍길동씨(가상)'가 자신의 눈을 적외선 카메라로 찍도록 허락하고 그 폰을 제공해야 가능한 일인데 실제로 이런 일이 일어나겠느냐는 것이다.
홍채사진을 적외선 카메라로 근거리에서 찍어두고 하필이면 그렇게 찍어둔 사람의 스마트폰을 입수하면 그 폰의 보안을 풀 수 있지만 그럴 가능성은 상당히 낮고 해커들 처럼 단지 보안을 뚫는 것을 실험할때나 가능하다는 뜻이다.
흔히 SNS에 돌아다니는 사진 정도로는 가짜 홍채사진을 만들 수 없다는 것으로 크게 걱정할 필요가 없다는 것이다.
실제로 삼성전자는 이 동영상이 공개된 뒤 실험실 수준에서 이런 일이 가능한지 재연을 시도했지만 성공하지 못한 것으로 알려졌다.
이론적으로는 가능하지만 실제로 일어나기는 쉽지 않다는 설명이다. 삼성은 그러나 혹시 있을 지도 모를 사태를 막기 위해 보안을 더 강화하기로 했다.
삼성전자 관계자는 CBS노컷뉴스와의 통화에서 "삼성은 이미 해킹사실을 알고 있었다면서 보다 강화된 안티스푸핑 솔루션을 통해 보안에 문제가 없도록 하겠다"고 밝혔다.