사진, 레이저프린터, 콘택트렌즈에는 두 가지 공통점이 있습니다. 일상에서 쉽게 접할 수 있는 물건이자 '갤럭시S8' 홍채인식을 뚫는데 사용된 해킹 도구라는 점입니다. 지난 5월22일(현지시간) 독일의 해커단체 '카오스컴퓨터클럽(CCC)'은 1분짜리 영상을 통해 갤럭시S8의 홍채스캐너를 해킹하는 모습을 공개했습니다. <블로터>를 비롯해 많은 국내외 언론이 해당 소식을 전했는데요. 삼성전자가 자신하던 생체인증 방식의 보안이 뚫렸다는 것도 충격이었지만, 무엇보다 이목이 쏠렸던 부분은 해킹 방식의 단순함이었습니다.
갤럭시S8로 갤럭시S8을 해킹해보자
해킹은 카메라로 사람의 홍채를 촬영해 레이저프린터로 사진을 출력 후 그 위에 콘택트렌즈를 올려 가짜 눈을 만드는 방식으로 이뤄졌습니다. 누구나 따라하기 쉬운 방식이죠. 그래서 직접 해봤습니다. 준비물은 홍채를 촬영한 사진, 레이저프린터, 콘택트렌즈 그리고 갤럭시S8입니다. 먼저 갤럭시S8로 홍채 사진을 촬영했습니다. SNS상에 올라온 고해상도 사진을 통해서도 해킹이 가능하다는 해킹단체의 주장에 따랐습니다. 갤럭시S8 카메라는 '듀얼 픽셀 1200만화소(F1.7)'에서 나오는 고화질 사진을 자랑합니다.
두 번째로, 주변에서 흔히 볼 수 있는 문구점을 찾았습니다. 레이저프린터를 이용해 촬영한 사진을 1대1 비율로 흑백과 컬러로 인쇄했습니다. 레이저프린터는 카오스컴퓨터클럽이 쓴 제품과는 다른, C사 제품이었습니다. 마지막으로 콘택트렌즈를 준비했습니다. 시험착용 콘택트렌즈를 주변 안경원에서 무료로 받았습니다. 갤럭시S8에 홍채등록을 한 후 CCC의 영상에 나온 방식대로 프린트된 사진 눈동자 위에 렌즈를 올려 가짜 눈을 만들어 인증을 시도했습니다.
"멀어지세요."
컬러사진과 흑백사진 두 가지로 수차례 인증을 시도했지만 '멀어지세요'라는 메세지만 반복됐습니다. 갤럭시S8 화면에 출력되는 눈 모양의 가이드에 맞춰 가짜 홍채를 가까이도 들이대고 멀리도 떨어트려 봤지만 잠금화면은 열리지 않았습니다. 마치 렌즈를 처음 눈에 낄 때처럼 힘겨운 사투가 계속됐습니다. 수차례 렌즈 액에 담갔다 빼며 손에서 떨어지지 않는 렌즈를 힘겹게 사진의 눈동자 위에 얹어봤지만, 성공은 점점 멀어져갔습니다. 갤럭시S8로 찍은 사진으로 갤럭시S8 홍채인식을 해킹하는 동족상잔의 비극은 일어나지 않았습니다.
적외선 카메라를 사용해보자
"안 되면 되게 해." 편집장은 실패를 쉽게 용인하지 않았습니다. 다른 방법을 찾아야만 했습니다. CCC는 '나이트샷' 모드로 촬영된 사진이 가장 잘 인식됐다고 밝혔습니다. 나이트샷은 적외선을 이용해 어두운 곳에서도 촬영할 수 있도록 돕는 기능입니다. 공개된 영상에서도 해커들은 2003년 출시된 소니 사이버샷 카메라의 나이트샷을 사용해 홍채를 촬영했습니다. 갤럭시S8의 홍채인식 기능이 적외선을 활용한다는 점에서 착안한 방식입니다.
다행히 <블로터>에는 적외선 포트가 달린 소니 캠코더가 있습니다. 나이트샷 모드를 지원하는 소니 'HXR-MC50N' 모델(2010년 출시)입니다. 나이트샷으로 인물을 촬영한 후 위에서 언급한 과정을 반복했습니다. 말라 비틀어진 렌즈를 치우고 렌즈도 새로 깠습니다. 공포영화 포스터를 연상시키는 푸르딩딩한 눈 사진은 갤럭시S8을 자극하지 못했습니다. 해커들처럼 삼성 레이저프린터를 사용하지 않았기 때문일까요. 동영상같이 '짜잔' 하고 잠금화면이 열리는 일은 일어나지 않았습니다.
핵심은 홍채인증이 뚫렸다는 것 자체
"실질적으로 재연되기 어려운 상황이고 동영상으로 보면 쉬운 것처럼 나와 있지만 일반인들이 할 수 있는 게 아니다." 삼성전자 관계자가 <블로터>와의 통화에서 홍채인식 해킹에 대해 한 말입니다. 관계자의 말처럼 동영상에 나온 홍채인식 해킹은 일반적으로 벌어지기 힘든 상황입니다. 홍채인식 보안을 쓰는 갤럭시S8 사용자를 근거리에서 홍채가 찍히도록 적외선 카메라로 촬영하고 해당 휴대폰을 탈취해야 가능한 일이며, 이런 방식을 따른다 하더라도 영상처럼 쉽게 되지도 않습니다. 삼성전자는 CCC 측으로부터 이런 사실을 제보받고 내부적으로 재연을 시도했지만 성공하지 못한 것으로 알려졌습니다.
문제의 핵심은 홍채인증이 뚫렸다는 것 자체에 있습니다. 그동안 삼성전자는 홍채인증에 대해 가장 강력한 방식의 생체인증이라고 자부해왔습니다. 홍채인식을 최초로 적용한 '갤럭시노트7' 기자간담회에서 김형석 삼성전자 무선사업부 개발실 상무는 카메라 촬영을 통한 홍채 정보 유출 가능성에 대해 "홍채인식에 특정 주파수대의 근적외선 영상이 활용되기 때문에 아무리 고화질이라도 일반 RGB카메라로 촬영된 영상에는 반응하지 않는다"라고 말했습니다. 또한 "설사 정보가 유출되더라도 이 정보로 홍채정보를 복원할 수 없다. 탈취된 정보로 홍채를 만들어낼 수도 없고 인증에도 사용할 수 없다. 인증 과정에서 가로챈 정보도 마찬가지다"라고 답했습니다.
하지만 이번 CCC의 공개 영상으로 삼성 측의 주장은 신빙성에 금이 갔습니다. '산 사람의 눈이 아니면 인식되지 않는다', '기기가 홍채의 미세한 떨림까지 감지하기 때문에 사진을 통한 보안 해제가 어렵다'던 생체인증업계의 가설과 주장은 깨졌습니다. 기술이 발전하면 원거리에서도 초고해상도 적외선 카메라로 홍채정보를 가져갈 수 있을지도 모릅니다. 비밀번호와 달리 생체정보는 누출된다고 해서 사용자 개인이 바꿀 수도 없는 노릇입니다. 또 이번에 공개된 해킹방식은 쉽게 재연되지는 않지만 쉽게 따라할 수는 있습니다. <블로터>가 이번 해킹 모방에 사용한 금액은 인쇄비 1500원입니다.
최근 홍채인증 기술은 여러 보안 서비스에 확산되고 있습니다. '삼성패스'뿐만 아니라 최근 서비스를 시작한 인터넷 전문은행을 포함한 대부분의 은행 모바일뱅킹 서비스에도 사용되고 있습니다. 한국인터넷진흥원, 인증기관과의 협력을 통해 공인인증서도 홍채인증으로 사용할 수 있도록 했습니다. 삼성전자는 홍채인식 해킹에 대해 "해당 내용 인지하고 있고 보안 솔루션을 강화하기 위해 준비 중"이라고 답했습니다.