스마트폰 지문인식의 보안성

1
424

애플의 아이폰5s가 터치 ID 라는 지문인식 기술을 사용한 뒤로 안드로이드 플래그쉽 스마트폰에도 속속 지문인식이 채용되고 있습니다. 아이폰 이전에도 안드로이드 스마트폰에서는 컨셉 기능으로 여러 번 탑재가 되었었지만 대부분 쓸떼없는 기능이라는 평가를 받고 좌절되었던 반면, 아이폰은 빠른 반응속도와 홈버튼이라는 위치적 장점을 이용하여 터치 ID의 흥행에 성공하였습니다.

그리고 이제 안드로이드 6.0에서도 정식으로 지문인식이 제공되기 시작하였고 안드로이드의 앱들도 지문인식 지원을 시작하였습니다. 안드로이드 6.0 이전의 지문인식은 각 제조사가 개발한 방법으로 지문인식을 해왔더라면 이제 안드로이드 6.0에서는 구글이 제공하는 소프트웨어로 지문인식이 가능하며 공통된 API를 사용하여 안드로이드에서의 지문인식 활용도가 높아질 것으로 기대되고 있습니다.

실제로 현재 안드로이드 6.0 기기에서는 플레이스토어 결제 시 별도의 비밀번호가 아닌 지문인식을 하도록 설정을 변경할 수 있으며 실제로 사용해보면 매우 원활히 작동합니다. 이런 지문인식 같은 개인의 생체적인 부분을 이용하여 개인을 구별하는 기술을 생체 인식 기술이라고 합니다.

생체 인식 기술의 특징은 바로 타인과 같지 않다는 점과 평생 바꿀 수 없다는 점이 특징입니다. 이는 완벽한 개인 구별이 가능하다는 장점도 있지만 반대로 말하면 한번 유출되면 절대 바꿀수 없다는 말이 됩니다. 다르게 말하면 비밀번호가 유출된다 하여도 이를 바꿀 수 없는 것이 되는 겁니다.

 

51972-1280

내 지문은 어디에?

지문인식 외에도 생체 인식 기술 자체에 이러한 의문은 계속 있었으며 아이폰5S에 지문인식이 탑재될 때도 이러한 우려는 많았습니다. 따라서 지문인식을 사용하는 회사들은 각자의 보안 솔루션을 이용하여 지문 데이터를 안전하게 저장하고 있습니다.

게다가 저장되는 데이터도 지문 그 자체의 데이터가 아닙니다. 지문의 특징적인 부분들만을 포인트로 저장하여 다음 지문인식시에 해당 포인트의 위치를 대조하여 판독하게 됩니다. 지문 데이터가 유출되어도 지문의 특 징포인트가 유출되는 거지 지문 자체가 유출되는 것은 아닙니다.

하지만 이러한 지문 데이터라도 유출되는 것 자체가 매우 위험합니다. 그래서 애플은 아이폰5s를 공개할 때 지문인식 데이터는 시스템이나 아이클라우드가 아닌 ‘Secure Enclave‘라는 특수한 공간에 저장하고, 삼성도 마찬가지로 KNOX에 지문 데이터를 저장하고 있습니다. 안드로이드 6.0 부터 정식으로 지문인식 기능을 지원하기 시작하면서 구글은 지문인식을 하드웨어적으로 분리되어 있는 “Trusted Execution Environment(TEE)” 에서 이루어져야 한다고 ‘강제’하고 있습니다.

일명 TEE라고 불리는 이 기술은 스마트폰 AP 내에 별도의 공간을 만들어 그 부분을 ‘Secure OS’를 구동시키는 데 사용하는 기술로, 이 ‘Secure OS’는 일반적인 소프트웨어가 시작되기 전에 먼저 시작되어 기기의 데이터를 안전하게 보호합니다. 한마디로 스마트폰 안에 보안 스마트폰이 하나 또 존재하는 것입니다. 다만 문제는 이 기술사용이 강제되어 있는것은 지문인식을 정식으로 지원하는 안드로이드 6.0 기기로 이 이하 안드로이드 버전을 사용하는 기기에 대해서는 어떠한 기술로 보안을 실행하고 있는 지 알 수 없습니다.

현재 TEE 기술을 응용한 지문인식 보안체계를 사용하는 회사는 화웨이(ARM 트러스트존), 삼성(KNOX), 넥서스(TEE), 애플(Secure Enclave)가 있습니다. 추가적인 확인은 제 조사로는 확인할 수 없었으며 소니, 샤오미 같은 회사들은 어떠한 보안체계를 이용하는지 확인이 불가능 하였습니다. 다만 안드로이드 6.0 업데이트가 이루어진다면 TEE 사용이 강제되므로 조만간 안드로이드 6.0 업데이트를 앞둔 소니는 이미 관련 기술을 사용하고 있을 가능성도 있습니다.

 

iphone_5s_touch_id_fingerprint_video_hero_4x3

지문해킹의 위험성

위에서 말했다 싶이 지문은 평생 바꿀 수 없는 생체 인식 데이터입니다. 높은 보안성을 주는 동시에 유출되면 절대 바꿀 수 없음을 의미하기도 합니다. 누군가 악의적으로 그 사람의 지문을 사용하고자 한다면 가짜 지문 구별 능력의 거의 없는 현재 지문인식 시스템으로는 매우 큰 피해가 일어날 수 있습니다.

애플페이, 삼성페이, 안드로이드페이는 모두 사용자의 지문을 인식하여 결재를 진행하게 되고 한국에서는 각종 관공서에서도 지문을 요구하기 때문에 금융, 사회적인 피해가 일어날 수 있습니다.

하지만 일반적으로 TEE에 저장되어 있는 지문을 해킹하는 것은 거의 불가능합니다. 아직까지 이론적으로 가장 안전한 공간이기 때문입니다. 다만 TEE 사용이 강제되어 있지 않은 안드로이드 6.0 마시멜로 이하 버전의 지문인식 시스템들은 어떤 보안 형식을 가지고 있는지 알 수 없기 때문에 주의가 필요합니다.

근데 문제는 TEE에 지문이 저장되기 전입니다. 갤럭시S5 롤리팝은 메모리를 해킹하여 시스템에서 지문 데이터를 탈취하는것이 가능했다고 ‘파이어아이’가 공개하기도 하였는데 이 보안 취약점은 안드로이드 5.0 이상의 기기가 모두 해당하는 것으로 갤럭시S6나 화웨이 어센트메이트7도 동일한 취약점을 가질 수 있다고 밝혔습니다.

 

samsung-galaxy-s6-18-710x399

지문인식을 신용해서는 안되는이유

설령 지문을 가지고 있는 기기가 지문을 안전하게 보호하더라도 다른 문제가 있습니다. 바로 스마트폰의 지문인식기는 가짜와 진짜를 구별 못한다는 것입니다. 애플의 터치ID나 삼성의 지문인식기들은 전부 실리콘으로 제작한 가짜 손가락을 구별해 내지 못했으며 심지어 목공 본드로 제작한 가짜 지문도 구별해 내지 못 했습니다.

모든 사람 손에 있는 것이 지문이고 당장 어떠한 물건을 만지기만 하면 남는 것이 지문입니다. 게다가 독일에서는 사진 3장으로 특정인의 지문을 복원하는 기술까지 시연하였습니다. 일반인들에게는 별 상관없는 이야기 일지도 모르지만 일상이 사진인 유명인들에게는 매우 심각한 문제가 될 수 있습니다.

그래서 보안 전문가들은 지문인식이 오히려 다양한 문자의 조합인 패스워드보다 보안성이 낮을 수 있음을 강조합니다. 구글과 애플도 마찬가지로 지문인식을 사용 할때는 지문인식은 보안성이 낮고 PIN이나 복잡한 패턴보다 보안성이 낮음을 강조하고 있습니다.

 

xperia-h11

그래도 지문인식을 추천하는 이유

지문 데이터는 쉽게 복제되고 유출되면 다시 바꿀 수 없다는 단점이 있습니다. 하지만 이런 단점들을 가지고 있음에도 기업들은 지문인식을 추천합니다. 왜냐하면 지문인식은 시간대비 제일 높은 보안성을 가지고 있고 단순히 손가락을 이용한다는 특성 때문에 기존에 잠금 자체를 사용하지 않던 사람들도 지문인식을 사용하게 된다는 것입니다.

저로 예를 들면 저는 스마트폰에 잠금 자체를 하지 않았었습니다. 단순히 귀찮다는 이유로 말입니다. 스크린을 켤 때마다 패턴이나 PIN을 입력하는 것이 귀찮았습니다. 하지만 넥서스5X는 지문인식을 사용하는 편이 더 편리합니다. 손에 잡기만해도 후면에 손가락이 닿으면서 지문인식 → 잠금 해제가 되어 아무 버튼을 누르지 않도고 잠금을 해제할 수 있습니다.

그 이외 홈버튼에 지문인식이 내장된 삼성, 아이폰, 소니 같은 방식은 전원 버튼을 누르는 것만으로 안전한 잠금 해제를 할 수 있게 됩니다. 별도의 동작을 필요로 하지 않기 때문에 기존 패턴방식보다 편리하고 안전하다는 것입니다. 지문인식의 보안성은 여러 취약점이 있지만 소요 시간대비 높은 보안성과 편리성 덕분에 스마트폰 잠금을 사용하는 인구를 증가시킬 수 있고, 이는 전체적인 스마트폰 보안성 증가를 의미할 수 있습니다.

 

untitledt78y지문인식은 이제 스마트폰에서 떨어뜨릴 수 없는 존재가 되었습니다. 보급형 스마트폰까지도 지문인식을 탑재하고 안드로이드 6.0 에서부터는 정식으로 지원하는 덕분에 별도의 안드로이드 커스터마이징 작업 없이도 지문인식을 구현하는 것이 가능해졌습니다. 사실 대부분의 메이저 회사들은 이미 지문인식을 제공하기 때문에 안드로이드 6.0의 지문인식은 시스템의 보안성 향상과 성능 향상, 그리고 통합 인증체계를 구현함으로써 서드파티 보안 앱에서도 지문인식을 사용할 수 있게 됐다는 것입니다.

지문인식이 활성화 될수록 간편하면서도 높은 보안을 실현할수 있겠지만 그 간편함에 때문에, 단 한번의 사고로 중요데이터를 모두 탈취당할수 있는 위기에 있다는 것도 걱정되긴 합니다. 하지만 편의성에는 그만큼의 대가가 따르는법, 편의성인지 보안인지는 본인이 선택할 부분이지만 전 편의성을 택하겠습니다.