지난 7일 서울 중구 KT스퀘어에 삼성전자의 '갤럭시 노트20'이 전시돼 있다. /사진=이기범 기자삼성전자는 코로나19로 인해 18일 온라인으로 진행한 '제4회 삼성보안기술포럼(SSTF)에서 '프리폼 제스처 인증'(Freeform Gesture Authentication·이하 '프리폼 인증') 기술을 소개했다.
직선 대신 그림으로 인증…"경우의 수 늘렸다"
삼성전자가 18일 '제4회 삼성보안기술포럼(SSTF)'에서 소개한 '프리폼 제스처 인증' 예시 화면. /사진=SSTF 유튜브 중계 화면 갈무리이에 비해 프리폼 인증은 정사각형 모양 공간에 스마트폰 사용자가 마음대로 그림을 그려 만든 자신만의 패턴으로 인증하는 방식이다. 입력 공간이 한정적인 '3×3 패턴'보다 산술적인 경우의 수가 훨씬 많을 수밖에 없는 방법이다.
특히 연구팀은 사람들이 자주 사용해 보안이 뚫릴 수 있을 만한 그림 패턴 20가지를 1만3000명의 표본에게 실험해서 뽑아냈다. 그리고 이 그림과 비슷한 모양은 인증 패턴으로 그릴 수 없게 했다.
이 시각 인기 뉴스
그랬더니 보안이 뚫릴 확률이 기존 '3×3 패턴'보다 절반 가량 줄었다는 설명이다. 연구팀은 "프리폼 인증 자체도 보안이 뚫릴 확률은 3×3 패턴 인증과 비슷했지만 20개 패턴을 제외시켰더니 보안이 뚫릴 확률이 감소했다"고 설명했다.
철옹성 아이폰 핀번호, 갤럭시도 쓰지만…
아이폰에서 비밀번호를 반복해서 틀리면 나오는 안내 문구. 되풀이 될 수록 재시도 시간이 길어진다. /사진=애플다만 이같은 연구를 하게 된 배경에는 잠금화면 인증 보안성 측면에서 아이폰과 갤럭시를 비교하는 여러 시선 때문인 것이라는 해석이 나온다.
아이폰의 잠금을 풀 때에는 핀(PIN) 번호라는 6자리 비밀번호가 꼭 있어야 지문 인증이든 얼굴 인증이든 풀 수 있다. 핀 번호의 경우의 수는 560억 개에 달하는데 몇 차례 계속 틀리면 아이폰이 초기화되기도 한다. 서울중앙지검의 검언유착 의혹 사건에서 수사팀이 한동훈 검사장의 아이폰을 압수하고도 이를 풀지 못하면서 눈길을 끈 바 있다.
갤럭시 시리즈 역시 핀 번호를 쓰지만 몇 차례 틀렸다고 초기화되거나 하지는 않는다. 그리고 지문 인증 등을 쓸 때 다른 인증 방법을 병행 사용하도록 할 때 '3×3 패턴' 인증을 써도 된다.
삼성전자 관계자는 본지와 통화에서 "기존보다 보안을 향상하기 위해 선행 연구하는 단계"라며 "언제 어느 제품에 어떻게 적용할지는 아직 말할 단계는 아니다"라고 말했다.
화면 작은 '갤럭시 워치' 위한 인증 신기술도
삼성전자가 18일 '제4회 삼성보안기술포럼(SSTF)'에서 소개한 'PIC 비밀번호 인증' 예시 화면. /사진=SSTF 유튜브 중계 화면 갈무리스마트워치가 화면이 작아 기존 잠금 인증 방식인 6자리 핀번호나 '3×3 패턴'을 사용하기 불편하다는 단점을 보완하기 위한 방식이다.
픽 비밀번호는 네 개 버튼을 네 번 눌러 만드는 비밀번호다. 비밀번호를 누르는 방법에는 총 10가지 경우의 수가 있다. 한 번에 한 개씩 누르는 방법 네 가지와 두 개 버튼을 동시에 누르는 조합 여섯 가지(가로 방향 두 가지·세로 방향 두 가지·양 대각선 방향 두 가지) 등이다. 산술적으로 1만 가지 경우의 수가 생기는 방법이다.
이를 발표한 삼성리서치 시큐리티팀 관계자는 "기존 핀 번호 입력 수준과 보안 취약성이 동등한 수준이었다"고 말했다.
