Home > 전체기사
[주말판] 생체 인증에 어두운 기운을 드리운 사건 7
  |  입력 : 2019-09-07 12:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비밀번호라는 인증 수단이 가진 한계 계속해서 드러나고 있어
생체 인증에도 나름의 약점 존재해...물리적 변화 불가능한 건 치명적


[보안뉴스 문가용 기자] 크리덴셜 스터핑 공격과 계정 탈취 공격이 득세하기 시작하면서 사이버 보안 전문가들의 밤은 더욱 짧아지고 있다. 그러면서 비밀번호 무용론이 힘을 얻기 시작하고, 대안으로 생체 인증이 거론되는 횟수가 늘어나고 있다.

[이미지 = iclickart]


하지만 보안이라는 것이 늘 그렇듯, 간단한 답이 나오는 경우는 거의 없다. 비밀번호로 안 된다고 해서 생체 인증을 쓰면 그만이라는 답은 지나치게 간단하다. 물론 생체 인증이 사용자 이름과 비밀번호를 입력하는 것보다 강력한 건 사실이다. 그러나 생체 인증에는 생체 인증만의 위험이라는 게 존재한다. 최근 일부 전문가들과 공격자들은 이 생체 인증만의 위험을 파고드는 데 성공하며 생체 인증 만능론에 경각심을 불러일으키기도 했다. 이번 주말판에서는 이 사건들을 정리해본다.

1. 바이오스타2 침해 사건
생체 인증에 사용되는 정보는 물리적으로 고유하기도 하지만 영구하기도 하다. 그래서 인증에 적합하기도 하고, 부적합하기도 하다. 공격자들이 쉽게 흉내 낼 수 없다는 점에서 안심할 만하지만, 한 번 빼앗기면 바꿀 수 없다는 점이 치명적으로 작용할 수 있기 때문이다. 이를 잘 나타내는 게 바로 수주 전 발생한 바이오스타2(Biostar2) 정보 노출 사건이다. 생체 인증을 저장하고 있던 서버가 보호되어 있지 않고, 데이터는 암호화하지도 않아 1백만 명의 정보가 고스란히 노출되어 있었던 것이다. 문제의 DB에는 23GB의 안면 인식 정보, 지문 정보, 사용자 이름, 비밀번호가 저장되어 있었다.

2. 미국 인사국(OPM) 해킹 사건
2015년 일어난 사건이라 ‘최신’으로 분류하기에는 무리가 있지만, 560만 명에 달하는 연방 정부 기관 직원들의 지문 정보가 도난당했다는 건 생체 인증 분야의 위험성을 드러내는 대표적인 사건으로 꼽힌다. 여기에는 일급 국가기밀을 다룰 수 있는 요원들의 생체 정보도 포함되어 있었기 때문에 미국이라는 국가로서는 대단히 치명적이었다.

3. 삼성 갤럭시 S10 지문 스캐너 해킹
바이오스타와 미국 인사국 사건의 문제는, 공격자들이 훔쳐 낸 정보를 가지고 밀랍이나 3D 프린터 등을 통해 복제품을 간편하게 만들 수 있다는 것이다. 이로써 범인들은 가짜 지문을 가진 손가락 모형이나, 피해자와 똑같이 생긴 마스크를 만들어 생체 정보 리더기나 스캐너를 속일 수 있게 된다. 하지만 스캐너 자체를 해킹하면 어떨까? 오히려 더 간단하게 공격을 성사시킬 수 있다. 지난 4월 삼성의 최신 장비의 지문 스캐너가 해킹될 수 있다는 사실이 밝혀지면서 이 가능성이 실제임이 드러났다.

4. 미국 세관 및 국경 보호대 안면 인식 정보 유출
올해 여름, 미국 정부는 ‘세관 및 국경 보호대(CBP)’의 하도급 업체에서 서드파티 침해 사고가 있었다고 발표했다. 이 사고로 안면 인식을 위한 이미지들이 다량으로 침해됐다는 내용이었다. 국경을 오가는 시민들의 안면 정보 중 약 10만 개의 이미지가 새어나갔고, 여러 차량 번호판 정보도 보너스처럼 탈취됐다. 해킹 사건을 겪은 하도급 업체는 퍼셉틱스 LLC(Perceptics LLC)로, 내부적인 실수가 아닌 외부자의 악성 공격에 당한 것이라고 발표했다.

5. 가짜 손, 정맥 인증을 통과하다
정맥 인증은 지문 인식 기술의 약점을 보완하기 위해 나온 생체 인증 기술이다. 그러나 정맥 인식도 그 나름의 취약점을 가지고 있다. 작년, 일부 보안 전문가들은 밀랍으로 가짜 손을 만들고, 그 위에 정맥 인증 정보를 입혀 후지쯔와 히타치에서 나온 정맥 스캐너를 속이는 데 성공했다. 그 가짜 손을 만드는 데에는 약 한 달의 시간이 필요했고, 공격자들은 2500여 장의 사진을 사용했다고 한다.

6. 지문 정보, 이미 시장에서 거래되고 있었다
올해 초 보안 업체 카스퍼스키 랩스(Kaspersky Labs)의 보안 전문가들은 도난당한 디지털 지문들이 사이버 범죄자들의 시장에서 거래되고 있는 걸 발견했다. 거래되는 정보의 양과 질을 보니, 이미 해커들은 오랜 시간 생체 인증을 뚫어내기 위한 준비를 해왔다는 걸 알 수 있었다고 한다. 지문만이 아니라 행동 패턴을 통한 인증 시스템을 무력화시키기 위한 ‘디지털 핑거프린팅 정보’도 다크웹에서 활발히 거래되고 있다.

7. 음성 합성을 통한 음성 인증 뚫기
생체 인증의 해킹 가능성이 자꾸만 증명되자 일부 보안 전문가들은 음성 인식이야말로 뚫어낼 수 없는 것이라고 반박했다. 하지만 그건 사실이 아니다. 작년 블랙햇(Black Hat) 행사에서 약 10분 정도 이어지는 음성 정보와 샘플만 있으면 다양한 음성 인증 시스템을 크랙할 수 있다는 것이 증명된 바 있다. 연설이나 강연을 자주 하는 유명 인사들이 표적이 될 경우, 10분 정도의 발화 샘플을 취득하는 게 그리 어려운 일은 아니다. 게다가 유튜브가 요즘 대세가 되면서 10분의 음성 샘플을 얻어내는 건 간단한 일이 되기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)