[월요신문 김미화 기자] 홍채인식, 지문인식, 얼굴인식 등 스마트폰에 탑재된 생체인증 방식이 보안에 취약하다는 경고가 잇달아 나왔다.

24일 독일 해커집단 ‘Chaos Computer Club(CCC)’는 갤럭시S8의 홍채인식 보안장치를 뚫는 내용의 영상을 유튜브에 올렸다. 해당 동영상에 따르면 이들은 적외선 디지털카메라로 갤럭시S8 사용자의 눈을 찍었다. 그 다음 레이저프린터로 사진을 출력하고, 눈동자 부분에 콘택트렌즈를 붙였다. 이렇게 만들어진 가짜 눈이 홍채인식 보안을 해제하는 시간은 1분여 밖에 걸리지 않았다.

삼성전자 측은 실제 사용 환경에서 일어나기 힘든 일이라는 설명이다. 삼성전자는 “갤럭시S8 기기와, 적외선카메라로 촬영한 해당 기기 소유자의 고해상도 홍채사진, 콘택트렌즈를 한꺼번에 가진 조건에서만 가능한 일”이라며 “이런 일이 발생할 확률은 희박하지만, 보다 강화된 솔루션을 통해 보안에 문제가 없도록 하겠다”고 말했다.

사람의 홍채는 복잡한 패턴을 담고 있어 안전한 생체 보안 수단으로 주목 받아왔다. 무엇보다 홍채인식은 상용화되고 있는 생체인식 방식인 얼굴인식, 지문인식에 비해 보안율이 높은 것으로 알려져 있다. 하지만 가짜 눈으로도 보안 장치를 해제할 수 있게 되자 일각에서는 생체인식에 대한 우려가 나오고 있다.

실제 가장 대중화 된 생체 보안 방식인 지문인식의 경우, 다양한 해킹 사례가 있었다. 홍채인식 해킹에 성공한 CCC는 지난 2013년 아이폰5S의 지문인식 보안장치를 해제시켰다. 이들은 아이폰5S 화면 표면에서 지문을 채취, 투명 시트에 지문을 프린트했다. 이후 손가락에 시트를 붙이고 홈버튼에 인식시켜 잠금을 해제하는 방법을 사용했다. 이외에도 고해상도 디지털 사진에서 추출한 위조지문으로도 지문인식 보안장치를 해제시키는 일도 있었다.

얼굴인식을 통한 보안장치도 마찬가지다. 비슷한 사람의 얼굴로 잠금이 풀리거나 사진을 보여주는 것만으로도 보안이 해제되는 사례가 발생한 것. 최근 갤럭시S8의 얼굴인식 보안장치가 사진만으로 해제된다는 사실이 알려져 논란이 일기도 했다. 이에 삼성전자 측은 “얼굴인식은 가장 보안 수준이 낮은 생체인식으로, 편의성을 높인 기능으로 보면 된다”고 말한 바 있다.

전문가들은 생체인식을 활용한 보안이 훌륭한 수단은 되지만 완벽한 보안을 위해서는 기술 개발이 더 필요하다고 말한다. 한 보안업체 관계자는 “지금은 생체인증 방식의 보안 장치가 대중화되는 단계다. 이번 일을 계기로 생체인식의 인식률을 높인 소프트웨어를 개발해 보안성을 강화가 필요할 것으로 보인다”고 말했다.

한편 홍채인식 보안 방식이 뚫렸다는 보도 이후 은행권도 보안 점검에 나섰다. 우리은행은 “당 은행의 홍채인식 시스템은 등록된 단말기에서만 가능하다. 고객들에게 걱정 안하셔도 된다”고 말했다. 우리은행은 홍채인식으로 접속이 되더라도 별도의 비밀번호 인증을 요구하는 한층 강화된 보안절차를 거친다.

기업은행은 홍채인식인증 서비스를 시범 운영하고 있다. 기업은행 관계자는 “아직 시범 운영 중이다. 이번에 해킹된 갤럭시S8 기종이 아닌 타 기종이다. 해킹과 관련해 주시하고 있다”고 말했다.