실시간 랭킹 뉴스

인쇄한 얼굴 사진에도 뚫려…MS '윈도우 헬로' 보안 허술

노컷뉴스 이 시각 추천뉴스

닫기

- +

이 시각 추천뉴스를 확인하세요

윈도우10 최신 '폴 크리에이터' 버전에서도 해제

 

NOCUTBIZ
마이크로소프트(MS)가 자랑하는 생체인증 시스템인 '윈도우 헬로(Window Hello)'가 저해상도 사진으로도 잠금해제가 쉽게 풀리는 것으로 나타났다.

독일 모의 해킹(penetration testing) 업체인 SYSS는 최근 윈도우10의 '윈도우 헬로' 얼굴인증 시스템을 저해상도 얼굴 사진을 프린터로 출력한 이미지로 해제했다고 밝혔다.

◇ 적외선 촬영 사진 프린트해 얼굴인식 간단히 해제

SSYS가 공개한 테스트 동영상에서 '윈도우 헬로'는 LilBit 얼굴인식 적외선 카메라(LilBit Face Recognition USB IR Camera)를 연결한 델의 Latitude E7470 노트북과 자체 얼굴인식 카메라가 탑재된 MS 서피스 프로4 노트북 2종에서 340*340과 480*480의 저해상도 이미지를 레이저 프린터로 출력한 이미지로 쉽게 해제됐다.

테스트에 사용된 이미지는 얼굴인증에 사용되는 적외선 카메라 시스템을 모방하기 위해 근적외선 카메라를 이용해 정면에서 촬영해 이미지의 밝기와 대비를 간단한 방법으로 조정한 뒤 레이저 프린트로 출력했다.

SSYS의 '윈도우 헬로' 얼굴인식 스푸핑 테스트

 

이처럼 비교적 간단한 윈도우 헬로 스푸핑(spoofing) 공격은 지원이 종료된 윈도우10 '쓰레시홀드2(Threshold2) 1511' 버전과 지난해 여름 출시된 '애니버서리(Anniversary) 1607', '레드스톤2(Redstone) 1703' 업데이트 버전에서 쉽게 뚫렸다.

지난 10월 업데이트 된 '폴 크리에이터(Fall Creators) 1709' 최신 버전도 뚫리기는 마찬가지였다. 다만, 레드스톤2 1703과 폴 크리에이터 1709 버전은 스푸핑 방지 기능(anti-spoofing)을 활성화 시킬 경우 프린트된 얼굴의 이미지를 정상적으로 차단했다.

SSYS는 얼굴인증 스푸핑을 방지하기 위해서는 윈도우10 최신 버전인 폴 크리에이터로 업데이트 하고 윈도우 헬로의 '스푸핑 방지 기능'을 반드시 활성화시켜야 한다고 지적했다.

MS의 윈도우 헬로는 애플의 페이스 ID와 함께 업계에서 가장 뛰어난 얼굴인식 기술로 평가받고 있다. 윈도우 헬로는 홍채와 지문인식도 지원한다.

SSYS의 '윈도우 헬로' 얼굴인식 테스트 결과

 

얼굴·지문·홍채 인식 기술은 현존하는 최고의 보안기술로 평가받지만 과거 여러차례 이를 무력화시키는 사례가 보고된 바 있다.

◇ 애플 터치ID 지문인식, 삼성 홍채인식 간단한 조작으로 뚫리기도

2013년 실제 손가락이 아닌 인조피부로 만들어진 복사된 지문 조각을 이용해 애플의 지문인식 터치ID를 해제한 바 있는 독일 카오스컴퓨터클럽(Chaos Computer Club)의 해커 스타벅(Starbug)은 2014년에는 우르슐라 폰 데어 레이엔(Ursula von der Leyen) 당시 독일 국방장관의 손가락 지문이 나온 고해상도 사진을 이용해 복제 지문을 만들어 터치ID 잠금을 해제 했다.

2015년에는 앙겔라 메르켈 독일 총리의 고해상도 사진에서 추출한 홍채를 이용해 시중에 사용되는 홍채인식 시스템도 해제했다. 그는 적외선으로 찍은 고해상도 이미지를 흑백으로 인쇄하거나 피사채가 밝은색을 가졌거나 회색눈을 가진 경우에도 가능하다고 설명하기도 했다.

그는 지난 5월 삼성전자의 갤럭시S8의 홍채인식 기술을 무력화시켜 화제가 되기도 했다.

5m 떨어진 거리에서 소니 사이버샷 구형 디지털 카메라로 사용자의 홍채를 촬영해 레이저 프린터로 이미지를 출력한 뒤 콘택트 렌즈를 얹자 갤럭시S8의 잠금 시스템이 바로 풀렸다. 야간 촬영모드(나이트샷 모드)에서 적외선 필터를 해제하면 인식률은 훨씬 높았다.

당시 삼성은 일반적이지 않은 방식으로 진행한 모의실험으로는 삼성의 홍채인식 기술을 뚫었다고 단언할 수 없다고 밝혔지만 '불가능하다'고는 하지 않았다.

카오스컴퓨터클럽 대변인은 "스마트폰에는 점점 더 민감한 정보를 담고 있기 때문에 전자결제와 같은 보안이 필요한 기능을 사용하려면 지문인식이나 홍채인식보다 전통적인 비밀번호를 사용하는 것이 더 안전할 수 있다"고 전했다.

애플은 페이스ID가 스푸핑으로 해제될 확률이 100만분의 1이라며 현존하는 가장 강력한 얼굴인식 기술이라고 밝혔지만 일란성 쌍둥이는 물론 얼굴이 다른 형제에서도 잠금이 해제되는 현상이 나타났다는 주장이 제기되기도 했다. 애플은 일란성 쌍둥이의 경우 구분이 어려울 수도 있다고 인정했다.

전문가들은 일반적인 상황에서 이같은 생체 보안이 해제될 확률은 비교적 낮지만 해커가 비정상적인 방법을 이용해 범죄를 저지르는 만큼 여러 장점을 결합하는 다중생체인식 기술을 도입할 필요가 있다고 강조했다.


0

0

오늘의 기자

실시간 랭킹 뉴스

상단으로 이동