# 경기 남양주에 사는 이모씨는 최근 갤럭시 S10의 지문인증 방식을 해제하고 카카오뱅크 애플리케이션의 보안방식도 지문에서 패턴으로 변경했다. 갤럭시 S10 시리즈의 초음파 지문인식 방식이 쉽게 뚫린다는 소식을 접했기 때문이다. 이씨는 “삼성전자(005930)에서 소프트웨어(SW) 업데이트를 하겠다는 공지를 봤지만 불안감이 커져서 다시 지문을 등록하게 될지는 잘 모르겠다”며 “같은 스마트폰을 쓰는 가족들에게도 지문인식을 해제하라고 권하고 있다”고 밝혔다.
최근 갤럭시 S10·노트10 기종의 스마트폰에서 잇따라 지문인식 방식의 보안인증에 오류가 발생하면서 국내외 스마트폰 업계에서 끊이지 않았던 생체인증 오류에 대한 불안감이 커지고 있다. 스마트폰 제조사들은 신제품 출시 때마다 보다 간편하면서도 보안성을 높인 인증 방식을 개발했다고 선전해왔지만 전문가들은 100% 안전한 생체인증 방식은 없다고 지적하고 있다.
새로운 생체인증 방식과 이를 뚫으려는 해킹 시도는 창과 방패의 대결처럼 반복돼왔다. 지난 2013년 독일 해킹클럽 ‘카오스컴퓨터클럽(CCC)’은 애플이 아이폰 5S를 공개한 지 12일 만에 실리콘 고무를 이용해 지문인식(터치ID) 해킹에 성공했다. 2017년에는 삼성전자 갤럭시 S8의 홍채인식은 고화질 홍채 사진에 의해, 애플 아이폰 X의 얼굴인식(페이스ID)은 3차원(3D) 프린터에 의해 각각 뚫렸다. 이 밖에 페이스ID의 경우 13세 미만 어린이나 쌍둥이, 서로 닮은 형제자매의 경우 얼굴을 제대로 인식하지 못한다는 지적이 꾸준히 나오기도 했다.
업계에서는 이번 갤럭시 S10·노트10 시리즈의 초음파 지문인식 오류는 일상에서 누구나 시도할 수 있다는 점에서 논란이 더 커질 수 있다고 지적한다. 초음파 지문인식은 손가락을 올리면 초음파를 쏴서 지문의 굴곡을 인식하는 방식이다. 삼성전자는 이 방식을 설명할 당시 위조 지문에도 뚫리지 않는다는 점을 강조했다.
관련기사
보안성을 자랑하던 초음파 지문인식 방식이 어떤 생체인증보다 더 큰 논란에 휩싸인 이유는 무엇일까. 업계에서는 올해 4월 진행한 SW 업데이트가 원인일 수도 있다고 보고 있다. 삼성전자는 갤럭시 S10 시리즈 출시 초기 지문인식이 잘 되지 않는다는 비판이 제기되자 4월 SW 업데이트를 통해 최적화를 지원했다. 이때 인식률을 높이면서 보안이 완화됐을 것이라는 추측이 나온다.
그 결과 온라인 커뮤니티에서는 갤럭시 S10 시리즈 전면에 실리콘 케이스를 씌운 뒤 손가락이 아닌 발가락, 스마트폰 모서리, 심지어 먹던 감으로도 잠금이 해제되는 영상이 잇따라 올라오고 있다. 업계의 한 관계자는 “생체인증은 자신 이외 다른 사람이 스마트폰 잠금을 풀 가능성을 최소화시키기 위한 수단인데 이번 지문인식 오류는 누구나 손쉽게 내 인증을 도용할 수 있다는 불안감을 높였다”고 말했다.
전문가들은 보안을 위해서는 인증의 간편성을 다소 양보해서라도 인증 방식을 이중화해야 한다고 보고 있다. 제품 출시 시점에는 인증 간편성을 내세워야 스마트폰이 잘 팔릴 수도 있지만 그 결과 보안 취약성이 드러나면 결국 기업과 제품에 대한 신뢰가 떨어지는 치명적 부메랑이 된다는 것이다. 김승주 고려대 정보보호대학원 교수는 “센서 기술이 발전하면 생체인식의 문제점이 나아지기는 하겠지만 100% 해결은 불가능하다”며 “모든 보안기술은 완벽하지 않기 때문에 두세 가지를 혼합해서 쓰는 것이 기본 원칙”이라고 밝혔다.
이와 관련해 삼성전자에서도 내년 출시되는 갤럭시 S11에 ‘2단계 인증’을 도입할 가능성이 있는 것으로 알려졌다. 포브스 등 외신은 삼성전자에서 사용자가 핀 번호를 누를 때 동시에 지문을 인식하는 기술을 특허 출원했다고 보도한 바 있다. 포브스는 “도입 시기는 확실하지 않다”면서도 “(2단계 인증은) 스마트폰 보안의 미래를 제시할 것”이라고 평가했다.
/권경원기자 nahere@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
