AMC world

독일의 한 해커집단에 소속된 해커가 프린트한 눈 사진에 콘텍트렌즈를 올려 삼성전자 갤럭시 S8 홍채인식 해킹에 성공했다.

가디언은 독일 카오스 컴퓨터 클럽이 갤럭시 S8 홍채인식을 해킹했다고 보도했다.

카오스 컴퓨터 클럽은 갤럭시 S8 사용자 얼굴을 적외선 촬영했다. 눈 부분을 확대해 프린터로 출력한 후 홍채 곡률을 맞추기 위해 사진 위에 콘택트렌즈를 올렸다. 갤럭시 S8에 가짜 홍채를 가까이하자 인식에 성공하며 스마트폰 잠금이 해제됐다.

카오스 컴퓨터 클럽은 야간 모드에서 찍은 디지털 사진이라면 성공률이 훨씬 높다고 덧붙였다.

카오스 컴퓨터 클럽 대변인은 "홍채인식은 지문보다 훨씬 보안 위험이 크다" 면서 "휴대폰에서 결제등을 하려면 생체인증보다 비밀번호를 쓰는것이 더 안전하다" 고 말했다.

《 홍채 인식이 보안적인 면에서 

지문보다 보안 위험이 크다.》

갤럭시 S8은 얼굴인식 기능도 들어있었는데 이 역시 공식 판매가 시작되기 전에 해킹됐다.

스마트폰 소유자 얼굴 사진만으로 인증이 이뤄졌다.

카오스 컴퓨터 클럽은 애플 아이폰 5 출시후 몇 주 만에 터치ID 지문인식 센서를 해킹한 팀이다.

카오스 컴퓨터 클럽은 이번 갤럭시 S8 홍채 인식 해킹에 든 비용중 가장 비싼 물건이 스마트폰이라고 밝혔다.

아이러니 한건 삼성전자 레이저 프린터로 뽑은 사진이 가장 인식률이 좋았다고 한다...

위와 같은 보안 취약점?이 발견되었고 뚫렸다고 하더라도 실제로 생활에서 해킹을 하는 사례가 생길것이라 보지는 않는다. 개인생각이지만 홍채 스캔의 정의 자체가 홍채가 수축 이완하는 패턴을 인식해 스캔시 레이저로 인해 동공의 수축 이완까지 감지하는것인데 아직 스마트폰에 적용하기 힘들어 간소화 시킨 홍채인식 방법만 쓰는 걸로 알고있다. 기술적 알고리즘 측면으로 발전 뿐만아니라 좀더 디테일하게 잡아낼수 있는 홍채인식 디바이스의 개발또한 필요하다고 생각한다. 

지문인식도 손까락 지문으로 간소화 되었지만 사실은 손바닥 전체에서 사용자별 특이점을 패턴화시켜 데이터를 저장하는게 정석이지만 휴대폰 감지 센서로는 한계가 있어 적용이 어렵다는 걸로 알고있다.

암호 알고리즘만 탓할게 아니라 어느 암호 알고리즘에 특화된 디바이스 개발또한 필요하다고 생각한다.

보안의 중요성

이처럼 아주 기본적인 해킹기법에 의해 고객의 예민한 개인정보 및 사용 내역을 탈취당하거나, 외주 서비스를 이용함으로써, 보안이슈에 의존성이 생겨 불거항력의 해킹을 당하는 경우. 어떤 사람도 예측 할 수 없었기에, 혹은 걱정은 했으나 무심코 지나친 취약점에 비집고 들어온 해커들에게 무방비 하게 당해버린 것이다.

보안이란 ‘자 이제 보안이슈를 해결하자~’라고 시작해도 막상 할 수 있는 것은 많지 않다. 코드 곳곳에 취약점들이 이미 너무 많이 흩어져 있고, 이 부분들을 모두 수정하기에는 너무 시간이 오래 소요되기 때문에. 취약점을 알더라도 손을 대지 못하는 경우가 허다하다.

실용적이고 보안 레벨을 올릴 수 있는 디자인 패턴이나 기법들은 충분히 많이 존재한다.

보안에 대한 이슈는 모두가 예민하고, 조심하려는 부분이기 때문에 이에 대한 솔루션 역시 적지 않다.

그에 반대로 이 모든 부분을 고려하기에는 물리적인 시간이 부족한 것 역시 간과할 수 없는 부분이다.

시큐어 코딩(Secure Coding)을 전제로 코딩을 하되. 너무 많은 시간을 뺏기지 말자 정도가 합리적인 방안일 듯 싶다. 간단하고 기본적인 보안요소들을 지키고, 너무 시간이 오래 걸리거나 고도의 보안 요소가 필요한것들은 조금 뒤로 밀어두고 추후에 TF팀를 꾸려 보완 하는 방법 역시 나쁘지 않다고 본다.

보안에는 끝이없다. 아무리 많은 공격방법에 대비하더라도 새로 생기고, 변칙적인 패턴의 공격을 모두 고려하자니 서비스의 고도화는 꿈도 못 꿀 일이다. 모든 구성원이 경각심을 가지고 모든 고려 요소의 첫 번째에 보안을 둔다면

적어도 허탈할 정도의 수준의 해킹 시도에 회사 문을 닫는 일은 없을거라 생각한다.