본문 바로가기

갤S8 홍채 인식, 단 1분 만에 뚫렸다

중앙일보 2017.05.25 01:35 종합 14면 지면보기
삼성전자가 “현존 최고의 생체보안 기술”이라고 자평한 갤럭시S8의 홍채 인식 보안 기술이 독일 해커들에 의해 1분 만에 뚫렸다.
 

독일 해커단 CCC, 유튜브 영상 공개
스마트폰 주인 눈동자 사진 위에
일반 콘택트렌즈 붙이니 보안 풀려
CCC “홍채 인식, 지문보다 보안 취약”
삼성 “적외선 카메라 없인 불가능”

독일의 해커단체 ‘카오스컴퓨터클럽(CCC)’은 삼성전자의 레이저프린터로 뽑은 눈동자 사진과 콘택트렌즈만으로 간단히 홍채 인식 보안을 뚫는 동영상을 23일(현지시간) 유튜브에 올렸다. 영상의 길이는 1분16초다.
 
 이들은 동영상에서 먼저 디지털카메라로 한 남성의 홍채를 근접 촬영한 뒤 레이저프린터로 사진을 출력했다. 그 위에 콘택트렌즈를 올려 평면 눈동자 사진을 볼록하게 튀어나온 것처럼 만든 뒤 홍채 인식 카메라 앞에 갖다 댔다. 그랬더니 홍채 인식 보안이 단숨에 풀려 버렸다.
 
현재 전 세계에서 홍채 인식 기능을 결제에 적용한 스마트폰은 갤럭시S8이 유일하다. 앞서 갤럭시노트7에 먼저 적용됐으나 단종됐다.
 
삼성전자는 올해 ‘갤럭시S8’을 내놓으면서 홍채 인식 기능을 차별화 포인트로 앞세웠다. 삼성전자 측은 “금융거래 습관을 바꿀 기능”이라며 “외워야 할 암호가 하나라도 줄어든다면 삶은 더 쉽고 간편해질 것”이라고 강조했다.
 
당시 보안성에 대한 문의가 쏟아졌지만 삼성전자 측은 일축했다. 생체 정보 가운데 홍채 인식 기능의 보안성이 가장 높다는 점을 이유로 들었다. 당시 삼성전자 개발팀 관계자는 “동공 주위에 위치한 홍채는 영·유아기에 형성되면 평생 변하지 않는다. 좌우 홍채의 정보가 모두 다르고 쌍둥이 간에도 완전히 다를 정도로 고유한 패턴을 갖고 있다”고 설명했다. 그러면서 “지문은 1000만 명 중 한 명이 같을 수 있지만 홍채는 10억 개를 비교해야 유사 패턴이 나오는 정도라서 개인 식별용으로 탁월하다”는 설명도 덧붙였다. 지문은 살면서 조금씩 변하지만 홍채는 눈 안쪽에 위치해 손상이 일어나지 않고 쌍둥이도 서로 다른 홍채를 갖고 있을 정도로 개인성·보안성이 뛰어나다는 얘기다.
 
그러나 이번에 해커들은 홍채를 찍은 사진을 활용한 단순한 방법으로 보안 벽을 허물어 버렸다. 영국 가디언 등 외신에 따르면 더크 잉글링 CCC 대변인은 “홍채가 지문보다 많이 노출되기 때문에 지문보다 위험이 더 크다”고 말했다. 그는 또 “홍채 인식을 해킹하는 데 가장 큰 비용이 든 것은 갤럭시S8 구매였다” “삼성전자 레이저프린터를 이용해 최상의 결과를 얻었다”고 조롱하기도 했다.
 
삼성전자 홍보팀 염철진 부장은 외신 보도에 대해 “문제점을 면밀히 파악 중이며 보안성을 강화하기 위한 대책을 마련 중”이라고 밝혔다. 하지만 세 가지 이유를 들어 “실제 생활에서 일어날 수 없는 일”이라고 설명했다.
 
먼저 홍채는 적외선 카메라를 이용해 촬영해야 한다. 염 부장은 “CCC가 사용한 카메라는 적외선 기능이 내장된 구형 디지털 카메라”라며 “지금은 적외선 카메라를 시중에서 살 수가 없다”고 말했다. 갤럭시S8의 홍채 인식 기능은 자체 탑재된 적외선 카메라를 이용해 촬영하고 등록하는 것이라는 설명이다.
 
적외선 카메라를 확보한다 해도 도용을 목적으로 한 상태에서 그 사람의 홍채를 근접 촬영할 수 있느냐도 관건이라는 것이다. 또 촬영에 성공한다 해도 당사자의 스마트폰을 확보해야 홍채를 활용한 결제가 가능하다. 
 
박태희 기자 adonis55@joongang.co.kr
공유하기
광고 닫기