[머니투데이 김주현 기자, 박효주 기자] [삼성, 지문인증 오류 일주일 만에 보안 업데이트…전문가들 "생체인증 체계 개선돼야"]

/사진제공=픽사베이

<이미지를 클릭하시면 크게 보실 수 있습니다>

비밀번호보다 더 안전할 줄 알았던 생체 인증 기술의 신뢰성에 빨간 불이 켜졌다. 삼성 갤럭시S10·갤럭시노트10 시리즈의 지문 인증과 구글 ‘픽셀4’ 의 얼굴인증 등 모바일 생체인증 시스템에서 잇따라 보안 허점이 잇따라 발견되면서다. 삼성전자는 지문인식 오류가 발생한 지 일주일 만인 23일에야 SW(소프트웨어) 패치를 내놨다.

◇삼성 '지문', 구글 '얼굴인증' 오류…삼성 "보안패치 시작"= 23일 삼성전자는 지문인식 오류 관련 SW(소프트웨어) 패치 업데이트를 시작했다고 밝혔다. 삼성전자는 "지문인식 이슈로 고객 여러분께 불편함을 끼쳐드려 대단히 죄송했다"며 "SW 패치를 순차적으로 업데이트하겠다"고 공지했다.

갤럭시노트10·갤럭시S10 사용자들은 기기의 알림창에 들어가 '생체인식 업데이트'를 선택하면 된다. 삼성전자는 "전면 커버를 씌운 상태에서 지문을 등록한 경우 또는 전면 커버를 씌운 상태에서 한 번이라도 지문 인증을 사용한 경우에는 전면 커버를 제거한 상태에서 다시 등록해 달라"고 당부했다.

이번에 문제가 된 삼성 갤럭시 지문 인식 보안 허점은 일부 실리콘 케이스를 씌우고 지문인증을 시도하면 등록한 지문이 아닌 다른 손가락 지문이나 다른 사용자의 지문에도 잠금이 풀리는 기술적 오류다. 파장은 컸다. 카카오뱅크, KB국민은행, 우리은행, 신한은행, KEB하나은행 등 시중은행과 증권사들은 "문제가 해결될 때까지 모바일 뱅킹 시 지문인증 대신 패턴이나 공인인증서 등을 써달라"고 공지했다.

중국 알리페이와 위챗페이도 갤럭시S10과 갤럭시노트10 시리즈 제품의 지문 인식 기능 사용을 잠정 중단했다. 삼성전자는 "생체인증 기능 향상을 위한 지속적인 개선과 업데이트를 통해 보안성 강화에 더욱 완벽히 하겠다"고 밝혔다.

삼성 뿐 아니다. 구글 스마트폰 '픽셀4'기기도 최근 안면인식 기능 결함 논란을 빚었다. 눈을 감아도 얼굴 인증이 되는 오류다. 사용자가 잠을 자는 사이 타인이 스마트폰에 접근할 수 있다는 점에서 심각한 보안 문제라는 지적이 나온다. 구글은 "향후 소프트웨어 업데이트로 제공될 것"이라고 해명했다.

◇잇단 생체인증 결함, 왜?= 생체인증은 지문, 얼굴, 홍채 등 사용자의 신체특성을 활용한다. 복제가 어렵고 비밀번호 분실 위험이 없다. 스마트폰 화면 잠금과 모바일 금융거래시 본인 확인 수단으로 보편화 되고 있다. 공인인증서를 대체하는 경우도 적지 않다. 안전하다고 믿었기 때문일까. 이용자들은 더욱 불안하다. 생체 인증 시스템에 오류가 있을 경우 금융사고로 직결될 수 있다.

전문가들은 잇단 모바일 생체인증 시스템의 기술적 오류가 생체정보 인증 허용률을 조정하는 과정에서 발생했을 가능성에 무게를 두고 있다. 인증 허용률을 높이면 인식 정확성이 떨어지지만 사용하긴 편리하다. 반대로 인증 허용률을 낮추면 정확성은 높아지지만 불편하다. 가령, 손에 물이나 음식물 등 이물질이 묻거나 열이 날 때 여러 번 다시 시도해야 한다. 사용자 편의성과 보안성의 적절한 균형이 필요하다는 얘기다.

이에 대한 대안으로 생체 인증을 적용하는 기능마다 인증 허용률을 다양하게 적용하거나 여러 단계의 인증 단계를 마련할 필요가 있다는 지적도 있다. 김헌영 고려대 정보보호대학원 교수는 "금융 거래시 생체인증과 함께 토큰 인증서나 비밀번호 등 여러 인증 단계를 거치도록 설계하는 식으로 기술을 적용해야 한다"고 말했다.

그는 "생체 인증과 관련해 이용자들에게 정확한 설명과 소통을 할 필요가 있다"며 "보안성이 떨어지더라도 편의성을 높이고자 하는 이용자에게는 인증 단계를 줄이면 되지만 그만큼 기술적인 위험이 있다는 점도 명확히 고지해야 한다"고 강조했다. 강력한 보안 인증을 사용할지 말지를 사용자 본인에게 선택하도록 해야 한다는 지적이다.

이번에 문제가 된 갤럭시S10·갤럭시노트10 지문인식 기술은 퀄컴의 초음파 방식 센서를 처음으로 대량 적용한 사례다. 삼성전자가 기존 반도체 방식 지문입력 센서의 보안 취약점을 개선하기 위해 새로운 기술을 적용했지만 예상치 못한 또 다른 취약점이 발견된 셈이다.

김학일 인하대 정보통신학과 교수는 "완벽한 보안은 없다는 것을 사업자나 사용자 모두가 인지해야 한다"며 "기존 취약점을 보완해 오랫동안 개발한 초음파 방식 센서에서도 오류가 나온 것처럼 공격을 받으면서 보안 기술이 점점 발전하게 될 것"이라고 말했다.

김주현 기자 naro@, 박효주 기자 app@

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>