지문인식 인증이 참 편리하죠. 각종 인증 중에 가장 편한 게 지문인식 인증입니다. 그래서 스마트폰 잠금 화면서 패턴락을 지나서 지금은 대부분 지문 인증을 사용하고 있습니다. 지문인식 인증은 손가락에 있는 지문의 굴곡을 미세 전류를 흘려서 지문의 정보를 디지털로 저장한 후 이 정보와 전체가 똑같거나 일부만 똑같아도 (부분 인식 인증) 인증을 통과할 수 있습니다.
스와이프 할 때 소리로 스마트폰 지문 인식을 해킹하는 PrintListener 기술
지문 인증은 가장 중요하고 강력한 은행앱에서도 사용할 정도로 신뢰도가 아주 아주 높습니다. 그런데 이 지문 인증 시스템을 해킹하는 기술이 나왔습니다. 미국과 중국이 공동으로 연구한 기술로 우리가 사용하는 스마트폰을 좌우로 미는 스와이프시 발생하는 소음을 녹음해서 지문 패턴을 검출하는 놀라운 기술입니다.
해커들이 개발한 건 아니고 중국 화중과기대와 무한대학, 청와대학과 콜로라도 덴버 대학이 공동으로 연구를 했습니다.
이 기술을 PrintListener 기술이라고 명명했습니다.
그럼 PrintListener 기술을 소개하겠습니다. 먼저 스마트폰을 좌우로 이동하는 스와이프 조작을 할 때 미세한 소리가 나온다고 합니다. 소리가 난다는 자체가 놀랍네요. 미세한 소음이 발생한다고 해요. 이 소음을 주변 소음 제거하면 지문 패턴을 검출할 수 있다고 합니다. 이걸 이용해서 지문 인증을 통과한 후에 개인 정보 탈취나 결제를 할 수 있습니다.
이 스와이프 할 때 발생하는 소음은 스마트폰 마이크로 녹음을 합니다. 따라서 원격에서 해킹할 수도 있습니다. 그렇다고 해킹 앱이 설치되어서 녹음이 되는 것이 아닌 우리가 자주 사용하는 디스코드, 스카이프, 위챗, 페이스타임 같은 인기 앱의 마이크 사용 허가가 된 기능을 이용합니다. 물론 마이크가 아닌 소음을 주변에서 녹음해서 해킹할 수도 있는데 스마트폰 자체 마이크가 가장 가깝고 선명하게 녹음할 수 있습니다.
이렇게 녹음이 된 스와이프 할 때 발생하는 소음을 배경음을 제거하고 스와이프 동작할 때 발생하는 소리만 추출한 후 전처리를 합니다. 이후 스펙트럼 분석 등을 통해서 지문 패턴을 검출합니다. 한 번에 지문 패턴을 형성하는 건 아니고 여러 번 녹음을 해서 전체 지문을 만듭니다.
그럼 얼마나 지문인식 해킹에 성공할 수 있을까요? 부분 지문 인증이라면 무려 27.9% 전체 지문 인증 설정시에는 9.3%입니다. 100%가 아닌 점은 다행지만 전체 지문 인증 설정을 한 스마트폰도 10번 중 1번은 성공한다는 겁니다. 이래서 지문인증은 간단한 로그인 대신으로 해야 하고 결제나 이체 같은 돈이 오갈 때는 2차 인증이나 문자 인증 등 또 다른 방식으로 개선해야 할 겁니다.
요즘 스마트폰의 뱅킹앱들 보면 문자 인증도 없고 지문 인증도 로그인 할 때 한 번만 하고 이후에는 없어서 놀랄 정도로 허술하더라고요. 물론 대신 무척 편하죠. 토스앱이 대표적인데 이런 보안 위험을 알고 해킹 사고가 나도 가지고 있는 돈으로 메꾸어서 해결하고 대신 모든 사용자들에게 편리를 제공하고 있네요. 이 기술이 해커들이 만든 기술이 아니라서 다행이지만 앞으로 지문인식 인증도 이 PrintListener 기술에 대응하는 기술이 나와야겠네요.
