스마트기기 만지는 소리만으로 지문 탈취, 생체정보 보안 '빨간불'

황국상 기자 2024. 3. 16. 06:05
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

스마트폰이나 태블릿PC 등 스마트기기 화면을 손가락으로 훑는 과정에서 발생하는 미세한 소음만으로 이용자의 지문 패턴을 탈취·도용할 수 있다는 연구 결과가 나왔다. 사진은 카스퍼스키 공식 블로그에 게재된 해당 포스팅을 캡쳐한 것.

스마트폰이나 태블릿PC 등 스마트기기 화면을 손가락으로 훑는 과정에서 발생하는 미세한 소음만으로 이용자의 지문 패턴을 탈취·도용할 수 있다는 연구 결과가 나왔다. 사진은 카스퍼스키 공식 블로그에 게재된 해당 포스팅을 캡쳐한 것.


스마트폰이나 태블릿PC 등을 활용하는 과정에서 손가락이 움직이는 미세한 소리만으로도 지문 패턴(유형)을 고스란히 재현할 수 있다는 분석이 제기됐다. 가장 보안이 우수하다고 여겨지는 생체정보마저도 일상적인 스마트 기기 이용과정에서 손쉽게 털릴 수 있다는 얘기다.

15일 글로벌 보안 전문업체 카스퍼스키는 공식 블로그 '프린트 리스터 - 원격 지문 탈취'(Print Listner : Remote fingerprint theft) 포스팅을 통해 미국과 중국의 연구원들이 지문을 탈취하는 놀라운 기법을 소개하는 논문을 발간했다며 이같이 밝혔다. 프린트 리스너란, 지문의 소리를 듣는 기기를 일컫는 용어다.

카스퍼스키에 따르면 공격자가 일반 전화나 전화회의(컨퍼런스 콜) 등 방식으로 이용자에게 연락을 취하면 이용자는 태블릿PC나 스마트폰의 화면을 드래그하는 등 방식으로 스마트폰을 써야 한다. 공격자는 이용자와의 통화 도중에 이용자로 하여금 스마트 기기 스크린을 만지도록 유도할 수 있다.

통화가 연결된 상태로 이용자가 다른 화면을 검색하려고 화면을 만지는 동안 휴대폰 등 스마트 기기에 내장된 마이크는 손가락과 스크린의 마찰음을 포착해 낸다. 만약 이 소리가 녹음돼 공격자에게 전달되면 공격자는 이 소리를 분석해 지문 패턴을 재현해낼 수 있다. 공격자가 이용자의 지문 패턴을 도용하면 이용자의 잠금 화면을 풀거나 전자상거래를 할 때 사용되거나 사생활 정보를 잔뜩 담은 다양한 앱에서 이를 활용할 수 있다. 공격자가 이용자의 생체보안 정보를 고스란히 취득했기 때문이다. 더구나 도용된 비밀번호는 바꾸면 되지만 지문은 바꿀 수도 없다는 점에서 더 큰 문제를 초래할 수 있다.

카스퍼스키는 "사용자가 스크린 위에서 손가락을 움직이면 인간의 귀로는 거의 들을 수 없는 소음이 발생한다"며 "이같은 바스락거리는(rustling) 소리는 손가락 끝의 특정 루프와 아치(곡선), 소용돌이 및 소용돌이가 화면과 접촉하는지에 따라 차이가 있다"고 설명했다. 마치 음반에 미세하게 골(그루브)을 새겨 음악을 재생할 수 있도록 하듯 지문의 패턴마다 다른 소리를 낸다는 것이다.

스마트폰이나 태블릿PC 등 스마트기기 화면을 손가락으로 훑는 과정에서 발생하는 미세한 소음만으로 이용자의 지문 패턴을 탈취·도용할 수 있다는 연구 결과가 나왔다. 사진은 통화나 온라인 미팅 과정 또는 스파이웨어를 통해 손가락-스크린 마찰음이 녹음돼 공격자에게 전달된 후 지문 패턴이 도용돼 발생할 수 있는 위험에 대한 개요도다. 사진은 카스퍼스키 공식 블로그 해당 포스팅에서 캡쳐한 것이다.

스마트폰이나 태블릿PC 등 스마트기기 화면을 손가락으로 훑는 과정에서 발생하는 미세한 소음만으로 이용자의 지문 패턴을 탈취·도용할 수 있다는 연구 결과가 나왔다. 사진은 통화나 온라인 미팅 과정 또는 스파이웨어를 통해 손가락-스크린 마찰음이 녹음돼 공격자에게 전달된 후 지문 패턴이 도용돼 발생할 수 있는 위험에 대한 개요도다. 사진은 카스퍼스키 공식 블로그 해당 포스팅에서 캡쳐한 것이다.

이같은 손가락-스크린 마찰음이 녹음돼 분석되면 공격자가 지문의 대략적인 패턴을 알 수 있게 된다. 미국·중국 연구자들은 손가락-스크린 마찰음을 찾아내는 자동화된 시스템을 만들고 지문 사진과 다양한 방향, 배경 소음, 스마트폰 모델 등 다양한 변수에 따라 달라지는 손가락-스크린 마찰음에 대한 대규모 데이터 베이스를 만들었다. 이 데이터는 머신러닝 알고리즘으로 처리됐다.

연구자들은 65명의 실험자로부터 180개의 손가락을 스캔했다. 실험 결과 훈련된 알고리즘은 손가락이 스마트기기 스크린에서 움직이는 소리만으로 특정 지문을 확실히 예측했다고 한다.

지문이나 홍채 등 생체정보는 키보드에 입력하는 비밀번호나 OTP(일회용 비밀번호) 등과 달리 쉽사리 탈취되기 어렵다는 이유로 강화된 보안 솔루션에 주로 활용돼 왔다. 그러나 이번 연구는 이같은 생체정보마저도 쉽사리 털릴 수 있다는 점을 경고한다는 점에 의미가 있다.

카스퍼스키는 "2017년에는 이용자의 실제 지문 대신 무작위 지문 패턴을 가진 합성 지문을 지문 스캐너에 적용하는 방식을 제시하는 논문이 발표됐고 어떤 경우에는 효과가 있었다"고 했다. 최신 스마트폰에는 매우 좁은 형태의 지문 스캐너가 전원 버튼에 내장돼 있다. 이 스캐너는 지문의 한 조각만 파악할 수 있기 때문에 합성지문의 일부가 우연히 이용자의 지문과 패턴이 유사하면 스캐너가 오작동해 스마트기기 잠금을 풀어줄 수 있다는 내용이었다.

손가락-스크린 마찰음 외에도 지문을 탈취할 수 있는 방법은 많다. 이용자가 실제로 만진 수많은 실제 세상의 물건들에도 지문이 남아 있고 적당한 거리에서 찍은 일반 고해상도 사진으로도 지문이 고스란히 찍힌다.

카스퍼스키는 "통화나 온라인 회의 중 화면을 터치하지 않는 게 가장 좋다는 결론을 내릴 수 있다"며 "매우 민감한 정보, 특히 비즈니스 관련 기밀 데이터는 생체인식만으로 보호하지 말아야 한다"고 당부했다.

황국상 기자 gshwang@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.