홍채·지문·성문 약점 제각각…“성급히 도입한 감 있어”

▲ 사진=뉴시스

[파이낸셜투데이=이건엄 기자] 삼성전자 갤럭시S8의 홍채인식 보안 기술이 뚫리면서 다른 생체인증 취약점에도 관심이 모아지고 있다.

일각에서는 생체인증 허점을 간과하고 섣불리 도입하기 보다는 확실한 보완책을 세운 뒤 점진적으로 발전시킬 필요가 있어 보인다는 지적이 나온다.

26일 IT업계에 따르면 독일 해커집단 카오스컴퓨터클럽(CCC)은 지난 25일 유튜브를 통해 갤럭시S8 홍채인식 보안 기술을 무력화시키는 동영상을 공개했다.

이들은 적외선 디지털카메라로 홍채를 근접 촬영한 뒤 레이저프린터로 사진을 출력했다. 이후 사진에 찍힌 홍채 위에 콘택트렌즈를 올려 볼록하게 튀어나온 것처럼 만들었다. 이를 홍채 카메라 앞에 놓으니 인식이 되면서 보안 기능이 풀렸다.

삼성전자 측은 실제 생활에선 재현하기가 힘든 일어나기 힘든 일이라며 일축하고 있지만 영상이 조작이 아닌 만큼 소비자들의 불안감은 가중될 것으로 보인다.

생체인증이 무력화됐던 것은 이번이 처음이 아니다. 갤럭시S8의 홍채인식을 뚫은 독일 해커들은 이미 2013년 아이폰5S의 지문인증을 뚫었다. 아이폰 화면 표면에서 지문을 채취한 뒤 투명 시트에 채취한 지문을 프린트했다. 그런 후 손가락에 이 시트를 붙이고 홈버튼에 갖다 대는 방식으로 보안 장벽을 넘어섰다.

안면인증 역시 쌍둥이나 외모가 매우 닮은 사람의 얼굴을 식별하지 못하는 약점이 있다. 독일의 정보기술(IT) 전문 인터넷 사이트인 ‘톰즈 가이드’(Toms-Guide)가 실험한 스마트폰 스폐셜 보고서에 따르면 쌍둥이 얼굴을 갤럭시S8 안면인식 기능이 제대로 인식하지 못하는 것으로 나타났다.

톰즈 가이드 관계자는 “실험에 참가한 쌍둥이 자매 중 한명의 얼굴을 등록한 갤럭시S8이 다른 쌍둥이 자매의 얼굴에도 쉽게 잠금이 해제됐다”고 말했다.

음성인식도 논란거리다. 영국 BBC의 댄 시먼스 기자는 자신의 HSBC 계좌에 ‘제 목소리가 비밀번호입니다(My voice is my password)'라고 음성 인증 서비스를 등록했다. 하지만 댄의 쌍둥이 동생 조 시먼스가 댄의 목소리를 흉내 내면서 “My voice is my password”라고 또박또박 말하자 HSBC 모바일뱅킹 보안시스템은 “웰컴”이라는 답변과 함께 뚫렸다. 이 장면이 담긴 BBC의 영상은 이달 중순 큰 화제가 됐다.

또 대화형 서비스에 꼭 필요한 AI 음성 합성 기술이 잠금장치를 깨는 데 악용될 수 있다. 음성 합성은 특정 인물의 육성 데이터가 있으면 이 사람처럼 들리는 목소리를 합성할 수 있다. 국내에서는 특히 양대 포털인 네이버와 카카오가 AI 음성 합성 기술의 개발에 적극적이다. 네이버는 배우 유인나의 목소리를 합성한 오디오북을 작년 8월 공개했고 카카오는 뉴스를 손석희 앵커의 목소리로 읽어주는 시범 서비스를 2015년 4월 선보인 바 있다.

문제는 이런 기술이 동영상이나 통화 파일에서 데이터를 추출해 불법 목소리 복사를 하는데도 쓰일 수 있다는 것이다.

영국 주간지 이코노미스트는 지난달 기사에서 5분가량의 육성을 추출해 만든 가짜 목소리로도 음성 보안 소프트웨어(SW)의 80% 이상이 뚫린다는 미국의 연구 결과를 거론하며 음성 인식 체제가 근본적으로 위험하다고 지적하기도 했다.

IT업계 관계자는 “3D 프린팅과 같은 복제 기술이 고도로 발전하면서 생체인증 기술도 위·변조가 가능해졌다”며 “미흡한 생체인증 기술을 성급히 상용화할 경우 사회적 혼란을 일으킬 수 있다”고 지적했다.

저작권자 © 파이낸셜투데이 무단전재 및 재배포 금지