Home > 전체기사
보안의 미래는 다중 인증? 지금 이대로는 곤란하다
  |  입력 : 2019-08-08 15:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비밀번호의 힘이 약화되면서 대안으로 제시되기 시작한 다중 인증
블랙햇 행사에서 현존 기술의 부족함 드러나...더 보완해야 할 부분 존재해


[보안뉴스 문가용 기자] 다중 인증이, 보안의 미래라고 여겨져 왔던 것이 무색할 정도로 현재 미국에서 열리고 있는 블랙햇(Black Hat) 행사에서 여기 저기 뚫리고 있다는 소식이다. 중국 업체 텐센트(Tencent)가 운영하는 보안 연구실 주안우 랩(Zuanwu Lab)의 전문가 주오 마(Zhuo Ma)가 그러한 방법 중 하나를 소개했다.

[이미지 = iclickart]


“이전에는 다중 인증에 많이 사용되는 생체 인식 기술을 뚫기 위해 가짜 음성이나 영상을 생성하는 방법에 치중했었습니다. 그러나 그런 연구들은 ‘실제 공격’의 방법으로서는 그리 실용적이지 못했습니다. 라이브니스 탐지(liveness detection)라는 것을 뚫어낼 수 없었기 때문입니다.” 주오 마가 약간 도발적인 발언으로 강연을 시작했다.

라이브니스 탐지는 지문을 가져다 댈 때 체온을 같이 측정한다던가, 음성 인식을 시도할 때 소리의 반향도 함께 접수하는 등 다양한 요소들을 기반으로 실행되는 ‘동시성 컴퓨팅’과 관련된 개념이다. 이는 안면 인식을 할 때 흐려짐이나 주파수 반응 왜곡과 같은 것을 함께 측정하는 형태로 나타나기도 한다.

주오 마는 강연을 통해 다중 인증 기술 중 안면 인식을 뚫어내는 게 가장 복잡하다고 강조했다. 그러면서 인증이 진행되고 있는 장비에 영상 스트림을 주입하는 해킹 법을 소개했다. 영상 스트림은 광학 센서(카메라)와 프로세서 사이에 위치하도록 주입시켰다고 한다. “쉽지 않은 기술이긴 합니다. 고려해야 할 요소가 많거든요. 예를 들어 지연속도(latency)의 경우, 너무 높으면 시스템의 방어 체제가 발동되지요. 적정 수준을 맞춰야 발각되는 걸 피할 수 있습니다.”

그러면서 “실용적인 공격 방법이 절대 아니다”라고 강조했다. “피해자의 영상을 캡처하고, 장비를 물리적으로 손에 넣어야, 가짜 인증 영상을 어렵게라도 주입시키는 게 가능합니다. 이걸 전부 해낸다고 했을 때 공격 효율은 어떻게 될까요? 아니, 실제로 해내는 게 가능은 할까요?”

연구실에서 여기까지 생각이 다다른 주오 마는 “연구가 잠시 멈췄다”고 말했다. “그러다가 팀원 중 한 사람이 라이브 안면 인식 알고리즘의 세부적인 요소들을 들여다보기 시작했습니다.” 안면 인식은 3D 이미지를 확인하는 기술로, “둥근 형태의 두개골에 얼굴이라는 요소가 위치하고 있는지를 확인하는 것을 말한다.” 하지만 안경을 쓰면, 안경 렌즈가 있는 부분은 2D로 입력이 된다. 그리고 바로 이 2D 요소에 취약점이 있었다고 한다.

“이 부분을 깊게 들여다봤더니, 안면 인식 알고리즘에 있어서 눈이란 어두운 영역에 있는 하얀 점일 뿐이었습니다. 어두운 영역은 망막이고, 흰 점은 카메라를 쳐다보고 있다는 걸 알려주는 강조점이었습니다. 그러므로 까만 테이프를 안경 렌즈 중앙에 붙이고, 하얀 테이프 조각을 그 위에 붙이면 안면인식 기술은 인간의 눈으로 인식합니다.”

마는 재미있는 시연 영상을 가져왔다. 자는 사람에게 테이프로 대충 만든 가짜 눈이 부착된 안경을 씌우고 스마트폰 안면 인식 기술을 적용하는 것이었다. 전화기의 잠금 장치는 성공적으로 해제됐다. “물론 실제 공격이었다면 작업을 조금 더 정교하게 했을 것 같긴 합니다. 그러나 어떻게 해도 장비를 훔쳐서 영상을 주입하는 것보다 쉽죠. 이 시연만으로도 현재의 라이브니스가 취약하다는 건 충분히 드러났습니다.”

이런 취약점이 생기는 근원적인 이유로 주오 마는 “보안과 이용성을 모두 잡아야 하는 시스템 디자이너들의 현 상황”을 꼽는다. “마치 고공 줄타기를 하는 것과 같죠. 위태위태합니다. 그 팽팽한 균형을 약간 보안 쪽으로 기울어지게 조정해야 합니다. 이건 고공 줄타기를 할 때 줄의 면적(?)을 넓히는 것과 같습니다. 그래야 시스템 디자인이 보다 원활하고 안전하게 진행됩니다. 다중 인증도 더 안전하게 만들어지고요. 현재의 다중 인증 시스템은 ‘보안의 미래’라고 불릴만큼 안전하지 않습니다.”

3줄 요약
1. 블랙햇에서 활발하게 공격받고 있는 기술 중 하나, 다중 인증.
2. 중국 텐센트의 연구원, 안경에 테이프 붙여서 안면 인식 기술 농락하는 법 알아냄.
3. 현재의 다중 인증 및 라이브니스 탐지 기술은 더 향상되어야 함. 지금은 안전하지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)