이거 나만...?

[해보니] ‘갤럭시노트10’ 지문인식, 490원짜리 케이스에 뚫려

2019.10.17

‘갤럭시S10’, ‘갤럭시노트10’ 시리즈에 탑재된 화면 내장형 초음파 지문 인식이 실리콘 케이스에 의해 뚫리는 것으로 나타났다. 실제로 ‘갤럭시노트10’을 사용하는 본지 기자의 확인 결과 지문 인식 보안은 쉽게 뚫렸고 카드 결제까지 가능했다.

10월17일 외신, 국내외 IT 커뮤니티를 종합해보면 초음파식 지문 인식 센서가 탑재된 ‘갤럭시S10’, ‘갤럭시노트10’ 시리즈는 제품 전면에 실리콘 케이스를 씌웠을 때 등록된 지문이 아니어도 잠금이 해제되는 것으로 드러났다. 영국 매체 <더 선>은 지난 13일(현지시간) 2.70유로(약 3500원)짜리 실리콘 케이스를 이용해 지문 인식을 뚫은 사례를 보도했다.

| 본지 기자가 직접 해본 결과 ‘갤럭시노트10’ 지문 인식은 쉽게 뚫렸다.

해보니 지문인식 쉽게 뚫려…삼성페이도 가능

‘갤럭시노트10 플러스’를 사용 중인 본지 기자가 확인한 결과 지문 인식은 쉽게 뚫렸다. 방법은 간단했다. 도트 무늬가 있는 투명 실리콘 케이스를 제품 전면에 씌운 뒤, 미등록된 지문을 화면 지문 인식 센서 부분에 갖다 대면 된다. 원래 등록된 지문인 엄지와 검지가 아닌 중지와 약지로 인식시켰다. 처음 시도엔 잘 안 됐지만, 평상시보다 세게 화면을 누르자 잠금이 풀렸다. 왼손과 오른손 모두 마찬가지였다. 등록된 지문보다 크기가 작은 새끼손가락은 인식하지 못했다.

| 저렴한 실리콘 케이스를 전면에 씌우는 것만으로 삼성페이 결제까지 할 수 있다.

지문 인식 해킹에 사용된 실리콘 케이스는 일상에서 쉽게 구할 수 있는 제품이다. 본지 기자는 실리콘 케이스를 구하기 위해 동네 단골 가게를 찾았다. 해당 제품 가격은 490원이다.

갤럭시노트10 플러스 구성품으로 포함된 정품 실리콘 케이스와 달리 삼성페이 결제 기능 역시 등록되지 않은 지문으로 작동했다. 마음만 먹으면 실리콘 케이스만으로 다른 사람의 개인정보를 들여다보고, 은행 및 결제 기능을 사용할 수 있는 셈이다. 또 누구나 쉽게 따라할 수 있다는 점도 이전의 생체 인식 해킹 사건과 다른 점이다. 이번 사태가 심각한 이유다.

| 카카오뱅크 공지사항 갈무리

문제 소식이 전해지자 금융권도 대응에 나섰다. 카카오뱅크는 공지사항을 통해 “삼성 제조사의 일부 휴대폰 기기에서 지문인식 센서 오작동 문제가 기사로 공유돼 주의를 부탁드린다”라며 “해당 기기(갤럭시노트10/10 플러스, S10/S10 플러스, 탭S6)를 사용 중인 경우 문제가 해결될 때까지 지문 인증을 끄고 패턴과 인증 비밀번호를 이용하길 바란다”라고 주의를 당부했다. 국민은행도 비슷한 내용의 공지사항을 게재했다.

※갤럭시노트10 플러스 지문 인식 해킹 시연 영상(youtu.be/dycib5DxLbY). 포털사이트에 따라 영상이 지원되지 않을 수도 있습니다.

문제의 원인은 지문 인식률 업데이트?

문제의 원인에 대해선 의견이 분분하다. 한 업계 관계자는 “삼성전자가 올해 초 지문 인식률을 높이기 위한 소프트웨어 업데이트를 진행했고 이 과정에서 인식 알고리즘의 정확도를 떨어트려, 다른 지문도 기존 등록된 지문으로 인식하는 현상으로 보인다”라며 “금융정보, 사생활 같은 민감한 개인정보와 직결된 사안인 만큼 해당 제품을 사용하는 고객들은 삼성전자의 공식적인 발표가 나오기 전까지 휴대폰 대여·분실 등에 유의해야 할 것이다”라고 말했다.

삼성전자 관계자는 “조만간 해당 문제를 해결한 업데이트 진행될 예정”이라며 “아직 조사가 완전히 끝난 단계가 아니라 조심스럽지만 패턴이 있는 실리콘 케이스의 경우 지문 인식 과정에서 지문과 패턴이 같이 인식되면서 오작동하는 것으로 파악했다”라고 말했다.

지문 인식률을 높이는 과정에서 문제가 발생한 것 아니냐는 지적에 대해 “인식률을 높이면서 보안성을 저해하는 업데이트를 할 리는 없지 않느냐”라며 사실이 아니라고 부인했다.

공지는 했지만 사과는 없어…이용자 반발

삼성멤버스에는 “해당 문제는 일부 실리콘 케이스를 사용하는 경우 실리콘 케이스의 패턴이 지문과 함께 인식되면서 발생할 수 있는 현상으로 SW 수정을 통해 개선 예정이니 항상 최선 버전을 유지해 주시기 바란다”라는 내용의 공지사항이 게재됐다.

이에 대해 사용자들은 삼성전자 측의 제대로 된 사과 없다는 점에 대해 반발하고 있다. 한 사용자는 “삼성 측에서 문제의 심각성을 제대로 인식하고 있는지 불분명하다”라며 금융 정보가 해킹될 수 있는 문제에 대해 이번 사태가 별것 아닌 것처럼 건조한 내용의 공지사항만 올렸다고 지적했다.

spirittiger@bloter.net

사랑과 정의의 이름으로 기술을 바라봅니다. 디바이스와 게임, 인공지능, 가상현실 등을 다룹니다.