주민등록증 뒷면에 노출된 지문이 어디까지 악용될 수 있을까?
국내 대표 간편결제 애플리케이션(앱)과 인터넷전문은행, 정부가 운영하는 대표 사이트 '정부 24'를 대상으로 실험했다.
앞서 전자신문은 민원서류 무인발급기 대상으로 한 실험 결과를 공개해 큰 파장이 일었다. 두 번째 실험으로 오프라인 기계가 아닌 스마트폰 등 IT기기를 활용해 온라인과 모바일에서도 위조 지문이 통하는 지 시연에 나섰다.
결과는 '위조지문을 걸러내지 못했지만 악용 가능성은 무인발급기 보다는 상대적으로 낮다'고 판명 났다.
정부 사이트는 공인인증서라는 또 하나의 인증체계를 거쳐야 출력이 가능했다.
간편 결제와 인터넷전문은행 서비스(송금)은 위조지문 하나만 있으면 이용이 가능했다. 물론 위조 지문을 사용하는 스마트폰이 있어야 한다는 전제가 붙는다.
다양한 전제 조건이 함께 성립돼야 하지만 위조(불법 복제된) 지문을 온라인과 모바일에서도 걸러내지 못한다는 건 입증됐다. 결국 언제든지 뚫릴 수 있고, 다른 해킹 수단(공인인증서 탈취 등)과 결합한다면 대형 사고로 이어질 개연성이 남아 있다.
◇스마트폰 센서, 위조지문 못 걸러...'정부 24' 포털 인증체계 고도화해야
연구기관의 도움을 얻어 클레이(점토)로 위조한 지문으로 먼저 '정부 24' 포털에 접속했다. 정부24는 정부의 서비스, 민원, 정책·정보를 통합·제공하는 대표 포털이다. 기존 3개 시스템을 통합했다.
이 포털 민원서비스에 위조 지문으로 접속을 시도했다. 로그인 이후, 점토로 만든 위조지문을 스마트폰에 가져가 댔다. 민원발급기보다 조금 까다로웠지만 센서에 위치를 틀어 가져다 더니 인증에 성공했다. 위조지문을 통한 접근이 가능했다. 이를 통해 각종 민원서류 조회가 가능했다.
다만 지문을 첫 등록할 때와 민원서류를 출력할 때 공인인증서가 필요했다. 위조 지문 하나만으로는 민원서류 발급은 불가능했다.
정부가 폐기를 위해 노력중인 공인인증서가 생체인증의 보안 허점을 보완해주는 역할을 했다. 하지만, 만약 해커 집단이 공인인증서를 탈취하고 위조 지문이 결합시키면 대한민국 모든 온라인 채널을 사용할 수 있다는 의미도 된다. 가능성은 낮지만 큰 보안 취약점이 존재하는 것이다.
정부와 스마트폰 제조사, 앱 개발사 등이 지문인증 센서 고도화 등 대안을 공동으로 마련해야 하는 이유다. 결국 최첨단 스마트폰내 센서가 점토 한덩이에 위조된 지문을 잡아내지 못했다는 사실은 변하지 않는다.
◇간편결제, 간편의 이면 뒤에는 '보안 취약'
그렇다면 하루에도 수만명이 이용하는 간편결제 앱은 어떨까? 상황은 심각했다. 국내 대표 간편결제 앱에 위조지문 인증을 검증했다. 전제조건은 타인의 스마트폰을 탈취했다는 가정에서 실험이 이뤄졌다. 탈취한 스마트폰에 위조한 지문(같은 인물)을 맞추니까 간편결제 앱이 뚫렸다. 모바일 화면에 '결제 준비 중'이라는 문구가 나타났다. 마음만 먹으면 스마트폰에 위조지문 인증 후 일반 상점이나 금융서비스를 이용할 수 있다.
한 인터넷전문은행 송금 서비스도 상황은 마찬가지였다. 위조지문 인증에 제약은 없었다.
악용 가능성의 확률, 즉 여러 조건이 갖춰줘야 하지만 위조지문 자체를 걸러낼 수 없는 현 보안체계는 마땅히 개선돼야 한다.
공인인증서와 스마트폰 탈취의 제약조건은 남지만, 해커집단이나 사이버테러의 가능성은 충분하다는 게 전문가 중론이다.
한 보안 전문가는 “이 모든 문제의 출발점은 주민등록증에 부착된 지문”이라며 “지문이 악용될 가능성이 있고, 많은 IT기기와 온라인사이트에서 이를 걸러내지 못하고 있는데서 대안을 찾아야 한다”고 경고했다.
◇위조지문 막는 최적의 대안은?
위조지문 제작방법을 인터넷에만 검색해도 그 방법만 20가지가 넘게 나온다. 전문가 도움 없이도 간편하게 지문을 위조할 수 있다는 말이다.
SNS 등에 올라온 사진 등에서 손가락(지문) 이미지를 캡쳐 또는 스캔 등을 통해 추출하는 방법이 가장 많이 쓰인다. 만약 손가락에 잡티나 개선의 여지가 있을 때 이진화 프로그램을 활용해 제거도 가능하다. 혹은 추출된 지문 이미지를 도장가게에서 레이저로 정교하게 만드는 방법도 존재한다. 3000원이면 된다. 대량으로 지문을 위조하는 방법으로는 위조지문 제작용 틀을 만드는 방법도 있다. 그렇다면 이 같은 상황에서 주민증 지문 위조를 막을 수 있는 방법은 무엇일까?
수천만장의 주민등록증 체계를 일시에 바꾸는건 쉬운 일이 아니다. 등록된 지문 노출을 없애는 것이 효율적인 대안이지만 막대한 자본과 생체정보를 어떻게 내재화하느냐의 숙제가 있다.
중장기로 전자신분증 체계 개편을 목표로 하면서, 현 주민증을 이용하면서 위·변조를 막을 수 있는 대책을 강구해야 한다.
우선 이번 실험에서 또 하나의 문제로 대두된 것이 스마트폰 센서와 카메라다.
실제 손가락 지문(이미지)과 실제 손가락을 본떠서 만든 위조지문(이미지)은 사람이 맨눈으로 보나 카메라로 찍어서 보나, 구별하기 힘들 정도로 매우 정교하다.
실제 실험에서도 카메라로 손가락이미지를 찍은 사진과 동일한 손가락을 위조지문으로 제작해 찍은 사진을 비교했더니 구별이 불가능했다.
일부 기업에서 이 같은 문제를 해결하기 위해 인공지능(AI)방식을 도입하기도 했다. 하지만 인공지능 기술을 활용해도 현행 판별기술을 조금 개선하는데 머문다. 사람이 구별 못하는 것은 인공지능도 구별할수 없기 때문이다.
보안전문가는 지문을 생체인증으로 활용하는 여러 분야에 2차 생체정보를 도입하거나 복수인증을 의무화하는 것이 효과적이라고 설명한다.
생체인증을 도입하되 다소 불편을 감소하더라도 민감한 영역부터 복수인증 체계를 도입하는 것이다. 혹은 엄지손가락 외에 다른 손가락 인증도 함께 받는 방식도 있다. 땀 등 손가락만이 보유한 전기적 특성 신호값을 반영한 센서 개발이나 가이드라인을 제정하는 것도 한 방법이다.
그 검증 과정을 거쳐 최종 전자신분증 체계를 도입하는 중장기 전략을 조속히 수립해야 한다.
길재식 금융산업 전문기자 osolgil@etnews.com