25일 관련 업계에 따르면, 독일 해킹그룹 ‘카오스 컴퓨터 클립’은 최근 카메라, 레이저프린터, 콘택트 렌즈를 이용해 갤럭시S8의 홍채인식 잠금을 해제하는 동영상을 인터넷에 공개했다.
그러나 이번 해킹은 현실에서 가능성이 극히 적은 복수의 조건이 충족돼야 가능하다는 것이 전문가들의 설명이다. 우선 적외선 카메라를 활용한 초근접 홍채 촬영이 이뤄져야 한다. 이번 해킹시연에 사용된 디지털카메라도 적외선 촬영 기능이 지원되는 기종인 것으로 알려졌다. 아울러 단 한장의 사진만으로는 보안을 해제할 수 없다. 여기에 이용자의 스마트폰을 탈취해야만 보안해제를 진행할 수 있다.
보안업계 관계자는 “홍채인식은 지문인식보다 보안성이 수십배 이상 강력하고, 비밀번호나 패턴인식 방식보다는 100배 이상 강력한 보안방식”이라며 “이번 실험은 갤럭시S8 이용자의 협조 없이는 사실상 실현 가능성이 떨어진다”고 말했다.
삼성전자 관계자도 “홍채 정보를 탈취할 정도의 이미지를 확보하려면 수 미터 이하 거리에서 사용자의 눈을 근접 촬영해야 한다”며 “자체적인 실험 결과 수백회 근접 촬영한 결과물 가운데 단 한장만이 홍채정보를 담고 있을 정도로 그 가능성도 낮다”고 말했다.
특히 지문인식과 비교해서도 홍채정보를 탈취하기 어렵다는 설명이다. 보안업계 관계자는 “과거에서 아이폰5S의 지문인식 보안을 해제한 사례가 있는데 이는 유리 등에 묻은 지문에 파우더를 뿌리고 이를 촬영해 지문의 본을 뜨는 방식을 취했다”며 “이 경우 이용자 모르게 지문정보를 탈취할 수 있지만 현실성이 없어 크게 문제가 되지 않았다”고 말했다. 그는 “지문정보와 달리 홍채정보는 당사자가 이를 인식하지 않게 취득할 방법이 사실상 없기 때문에 일반 이용자들이 홍채인식으로 해킹 피해를 입을 가능성은 없다고 볼 수 있다”고 말했다.
그러나 이번 시연에 따라 홍채인식 시스템의 기술적 해킹 가능성이 있는 만큼 이에 대한 철저한 보안대책에 나서야 한다는 목소리도 적지않다. 가장 안전하다고 여겨진 홍채보안이 자칫 가장 허술한 보안체계가 될 수 있다는 것. 적어도 이번 시연으로 살아있는 사람의 눈동자가 아니면 인식되지 않는다는 가설은 깨진 셈이다. 업계는 기기가 홍채의 미세한 떨림을 감지하기 때문에 사진 등을 통한 도용이 어렵다고 주장해왔다. 특히 홍채인증의 경우, 사후에 홍채조직이 변하고, 기절하거나 잠이 든 상황 역시 동공이 확대돼 홍채인식이 불가능하다는 것이 생체인증업계의 주장이었다.
한 보안 전문가는 “손가락 하나의 지문이 같을 가능성은 1000만분의 1이지만 홍채는 같은 홍채가 나올 확률은 20억분의 1에 불과해 홍채인식의 보안이 강력하다는 믿음이 있었다”며 “하지만 홍채정보를 이미지로 옮길 수 있는 디지털 광학장비 기술이 발전하면 사람의 눈을 촬영하는 것만으로도 보안이 무너질 수 있기 때문에 이에 대한 검증이 필요하다”고 말했다. 가령, 적외선 카메라 초고해상도 촬영이 가능해지면 향후 먼거리에서 촬영을 해도 홍채정보를 이미지에 담을 수 있다는 지적도 나온다.
이와 관련해 삼성전자는 “이번 보안 해제에 대한 문제점을 파악하고 있었고, 만에 하나 이로 인한 이용자 피해를 방지하기 위해 보안을 강화하는 작업을 준비하는 과정”이라며 “조만간 적외선 카메라를 이용한 보안해제 가능성을 완전히 방지하는 소프트웨어 업데이트를 진행할 것”이라고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]