■ 방송 : CBS 라디오 <김현정의 뉴스쇼=""> FM 98.1 (07:30~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 김승주(고려대 정보보호대학원 교수)
스마트폰을 열 때 혹은 금융 결제를 할 때 비밀번호 대신에 지문이나 홍채 혹은 얼굴 인식 기능을 이용하는 경우가 많이 있죠. 이런 걸 생체 인증 기술이라고 하는데요. 세상에 똑같은 지문은, 홍채는, 얼굴은 존재하지 않는다. 이런 사실을 바탕으로 한 겁니다. 그런데 초등학생인 아들이 자기 얼굴로 아버지 아이폰의 보안을 해제하고 1000만 원에 가까운 금액을 게임 아이템 구입하는 데 결제한 사건이 있었습니다. 우리나라에서 일어난 일입니다. 얼마 전에 삼성의 갤럭시10의 지문 인식 오류가 보고가 되면서 많이들 놀랐었는데요. 아이폰의 얼굴 인식 기능에서마저도 오류가 보고되면서 이 생체 인증 기술 믿어도 되는 건지 참 걱정스러워졌습니다. 오늘 화제의 인터뷰 이 문제 짚고 가죠. 고려대 정보보호대학원 김승주 교수 연결돼 있습니다. 교수님, 안녕하세요?
◆ 김승주> 안녕하십니까.
◇ 김현정> 아니, 저는 아이폰 사용자가 아니어서 잘 몰랐는데 그러니까 아이폰 같은 경우는 지문이나 홍채 말고 얼굴로도 인증 서비스가 가능했습니까?
◆ 김승주> 네, 얼굴 인식도 가능합니다.
◇ 김현정> 이번 사건. 아버지 휴대폰에다가 아들 얼굴 갖다 댔는데 열렸어요. 심지어 결제가 됐어요, 1000만 원이. 어떻게 가능했던 거죠?
(사진제공=연합뉴스)
◆ 김승주> 많은 분들이 조금 잘못 알고 계시는 게 있습니다.
◇ 김현정> 뭡니까?
◆ 김승주> 지문이든 홍채든 그게 얼굴 인식이든 간에 처음에 내가 등록한 정보와 100% 일치해야지만 잠김 화면이 풀린다라고 생각을 하세요.
◇ 김현정> 그렇게 돼야 되는 거 아니에요? 금융 결제도 생체 인증으로 할 정도인데?
◆ 김승주> 그렇죠. 그런데 생체 정보라는 것은 사람의 컨디션이나 그때그때의 어떤 상황에 따라서 조금씩 변합니다. 예를 들어서 내가 처음에 등록했던 지문과, 내가 잠금 화면을 풀 때 갖다 댄 지문을 누르는 압력이 다르고요. 위치도 다르고, 만약 손에 상처가 약간 나면 또 달라질 수가 있거든요. 그래서 생체 인식 기술을 적용할 때는 일부러 오차 범위라는 걸 집어넣습니다.
◇ 김현정> 하긴, 저는 지문으로 휴대폰 잠금 기능을 해 놓는데 생각해 보니까 어떤 때는 좀 삐딱하게 댈 때도 있고 어떨 때는 똑바로 될 때도 있고 어떨 때는 왼쪽으로 비틀게 댈 때도 있고. 그런데 다 열렸거든요.
◆ 김승주> 그래서 보통 생체 정보가 처음 등록했을 때와 100% 일치해야지만 열려라. 이렇게 세팅해 놓지는 않고요. 처음 등록했을 때랑 80% 정도 일치하면 열려라. 70% 정도 일치하면 열려라. 이런 식으로 설정을 해 놓습니다.
◇ 김현정> 그렇게 하지 않으면 잘 안 열리겠군요.
갤럭시 지문인식 보안 허점 노출 (사진=연합뉴스)
◆ 김승주> 그렇죠. 이 수치를 너무 올려놓으면 어, 이거 왜 자꾸 이렇게 안 열리지? 사람들은 이렇게 생각하고요. 이걸 낮추면 또 이제 아무나 비슷한 사람이 또 다 들어갈 수 있는 문제가 생깁니다.
◇ 김현정> 그렇군요. 그러니까 생체 인증 기술이라는 게 100% 안전한 건 아니라는 소리네요.
◆ 김승주> 그래서 보안 전문가들이 이걸 너무 맹신해서는 안 된다라고 얘기하는 거고요. 비밀번호 같은 다른 보안 수단과 같이 병행해서 쓰라고 계속 얘기를 하는 겁니다.
◇ 김현정> 정말 중요한 경우에는 보안을 2개로 잠가놓는다든지 이런 식으로요.
◆ 김승주> 그렇죠.
◇ 김현정> 알겠습니다. 여러분, 생체 인증 기술이라는 걸 너무 100% 믿으시면 안 됩니다. 100% 믿어서는 안 된다는 걸 이번 아이폰 사례에 또 지난 갤럭시 사례 두 가지를 보면서 우리가 뼈저리게 느꼈는데요. 그러면 교수님, 앞으로도 생체 인증 오류라는 건 벌어질 수 있다는 얘기잖아요.
◆ 김승주> 당연히 그럴 수 있죠.
◇ 김현정> 그런데 이번에 초등학생 아들이 아버지 휴대폰에다가 얼굴 갖다 대고 잠금을 해제해서, 1000만 원에 가까운 금액을 결제한 걸 뒤늦게 아버지가 알고 나서 아이폰, 즉 애플사에다가 요구를 했대요. 이러이러해서 이렇게 결제가 됐으니 이것 좀 환불해 달라 했더니 아이폰 측에서는 거절했답니다. 앞으로도 이런 오류가 가능하다고 하면, 환불 정책이나 이런 데도 변화가 있어야 되는 것 아닌가요?
{IMG:6}
◆ 김승주> 실제 아이폰 자체의 문제인지 아니면 앱 설계의 문제인지는 한번 따져봐야 할 것 같습니다. 요새 간편 결제 얘기 많이 하시잖아요. 그래서 많은 분들이 지문 인식 같은 인증 하나로 다 결제도 이루어지고, 간편해서 좋은 거 아니야? 이렇게 생각을 하세요.
◇ 김현정> 정말 편리해요.
◆ 김승주> 그렇죠. 그런데 조금 전에 말씀드렸듯이 생체 인식 기술이라는 게 100% 안전한 기술이 아니기 때문에 보통 금융앱 같이 금융거래나 중요한 것을 사용할 때는 다른 비밀번호 같은 것과 병행해서 쓰라고 권고를 많이 합니다. 그래서 스마트폰을 처음 로그인할 때는 지문으로 로그인 한다 하더라도, 계좌 이체를 할 때는 비밀번호 한 번 더 물어보는 것들이 있습니다.
◇ 김현정> 맞아요. 은행은 그렇더라고요.
◆ 김승주> 그렇죠. 이런 식으로 설계돼 있어야 제대로 된 거지, 지문 하나 가지고만 다 되는 것은 사실은 굉장히 위험한 겁니다.
◇ 김현정> 그러네요. 듣고 보니까 위험하네요. 그런데 이게 지금 법적으로 정해진 것도 아니기 때문에 결국은 우리가 알아서 조심하는 것밖에는 길이 없겠는데요.
◆ 김승주> 맞습니다. 그리고 사실은 언론에서 생체 인식 기술이 너무 완벽한 것처럼 홍보하는 것도 약간 문제가 있고요.
◇ 김현정> 문제가 있네요. 그나저나 지난번에 감자나 고구마를 대도 뚫렸던 갤럭시10. 감자, 고구마까지는 어떻게 뚫린 거예요?
◆ 김승주> 감자, 고구마 때문에 된 건 아닌 것 같고요. 휴대폰 디스플레이 화면 위에 이렇게 커버를 씌우지 않습니까? 그런 실리콘 커버나 커버들을 보면 미세한 패턴들이 있습니다. 그 패턴을 지문으로 잘못 인식한 것 같습니다.
크레이그 페더리기 애플 부사장이 아이폰X 공개 행사에서 얼굴인식 ‘페이스ID’를 시연하고 있다. (사진=애플 유튜브 캡처)
◇ 김현정> 패턴이라 하면 오돌오돌한 결 같은 게 있을 수 있다, 아주 미세하게?
◆ 김승주> 맞습니다. 우리가 지금 갤럭시에서 쓰고 있는 센서는 초음파 센서라고 해서 박쥐가 초음파를 쏴서 주변 형상을 인식하는 거랑 똑같다고 보시면 됩니다.
◇ 김현정> 그런 원리군요.
◆ 김승주> 그런데 오돌도돌한 돌기가 커버 안에 있으니까 그걸 지문으로 잘못 인식한 것 같습니다.
◇ 김현정> 참 이게... 알겠습니다. 이게 지금 홍채, 지문, 얼굴 인식까지 있는데 다른 식의 생체 인증 기술은 또 뭐가 연구되고 있습니까, 선생님?
◆ 김승주> 지금 사실 생체 인식 기술은 거의 걷는 모양부터 시작해서 하다못해 요새는 의자 시트에 생체 인식 기술이 들어가서 앉을 때 엉덩이 모양을 측정할 수 있지 않습니까? 그걸로 사람을 인증하는 기술까지 있습니다.
◇ 김현정> 진짜요?
◆ 김승주> 그런데 문제는 더불어 해킹 기술도 굉장히 발전하고 있습니다. 최근에는 카메라 해상도가 아주 좋아지지 않았습니까? 그래서 사진 찍을 때 V자 하고 찍으시는 분들이 많은데, 그럴 경우에 지문 부분만 확대를 해서 그 지문의 모양을 본을 떠서 또 우회하는 그런 공격 기법도 있습니다.
◇ 김현정> 해상도가 좋으니까 확대하고 확대하면 지문 모양이 나와요?
◆ 김승주> 네. 그래서 V자 하고 찍지 마라. 이런 얘기가 SNS상에 떠돌았던 적이 있습니다.
◇ 김현정> 놀랍네요, 여러분. 생체인식 기술이라는 게 이런 겁니다. 이해를 우리가 하고 편리한 만큼 보안에도 스스로 신경 쓰면서 이용해야겠습니다.
◆ 김승주> 맞습니다.
◇ 김현정> 교수님, 오늘 도움 말씀 고맙습니다.
◆ 김승주> 감사합니다.
◇ 김현정> 고려대학교 정보보호대학원 김승주 교수였습니다.
(속기=한국스마트속기협회)