주민등록증 뒷면에 코팅된 지문을 위조해서 국내 간편결제 애플리케이션(앱)에 사용하니 뚫렸다. 타인의 스마트폰을 탈취, 위조된 지문으로 인증과 결제가 가능한 것이다.
전국 무인발급기에 이어 소비자 금융 거래가 가능한 결제 앱까지 위조된 지문 사용이 가능한 것으로 확인됐다. 생체 인증 사후 관리 종합 대책이 필요해 보인다.
정부가 운영하는 포털사이트 '정부 24'도 위조 지문 이용이 가능했다. 다행히 공인인증서 인증 작업을 거쳐야 해 악용 가능성은 적었다. 다만 정부가 공인인증서 점진 폐기를 추진하고 있어서 온라인과 모바일 부문 지문 인증 체계 고도화 작업이 병행돼야 할 것으로 보인다.
4일 전자신문과 생체 인증 전문 기업 리얼아이덴티티(대표 이섬규)는 주민증 위조 지문으로 무인발급기에 이어 국내 대표 간편결제 앱과 인터넷전문은행, 대한민국 정부가 운영하는 포털 사이트 '정부 24'를 접속했다.
우선 스마트폰 간편 결제 앱은 별도 검증 과정 없이 카드 결제가 가능했다. 스마트폰 내 생체 인증 감지 센서가 실제 지문 진위 여부를 판별하지 못했다. 물론 타인의 스마트폰을 탈취하고 지문까지 복제해야 하지만 해커나 주변 지인 등을 통해 악용될 여지가 크다.
인터넷전문은행 가운데 한 곳도 위조 지문을 통해 송금 서비스가 가능한 것으로 나타났다. 아이폰 상황은 더 심각했다.
연구기관 관계자는 “국내 스마트폰보다는 아이폰에서 페이크 지문 인증이 더 쉽다”면서 “공인인증서 체계가 없어지고 지문만을 활용한 간편결제 인증이 확산되고 있어 이에 걸맞은 복합 인증 등 보완 대책도 강구해야 한다”고 지적했다.
대한민국 정부 대표 포털 '정부 24'도 복제 지문 이용이 가능했다. 다만 아직 공인인증서를 활용하고 있어 '전화위복'이 됐다.
전자신문이 위조된 지문으로 정부 24를 통해 각종 민원서류를 발급받아 봤다. 노트북 감지 센서 등을 통한 접속은 불가능했다. 아이폰 이용도 불가능했다. 그러나 안드로이드 스마트폰은 접속과 민원서류 발급이 가능했다.
정부 24에 위조된 지문을 처음 등록(인증 수단 채택)하기 위해서는 공인인증서가 필요했고, 공문서 출력 시에도 공인인증서를 거쳐야 했다. 이 때문에 일반인이 위조된 지문을 보유하고 있어도 악용에는 한계가 있었다.
보안업계 관계자는 위조 가능성이 상존하는 만큼 정부뿐만 아니라 스마트폰 제조사와 앱 개발사 등이 생체 인증 센서와 복합 인증 체계를 조속히 도입해야 할 것을 주장했다.
지문+지문(복수 사용), 지문+안면, 지문+홍채 등 복합 인증을 통하거나 2차 생체 정보를 추가로 판별하는 방식을 도입해야 한다는 것이다.
또 기술 업그레이드도 대안이 될 수 있다.
땀을 활용해 실제 사람 지문인지를 판별하는 방식이다. 또 손가락은 인체에만이 있는 독특한 전기 특성 신호 값이 있다. 이 특성 신호 값을 이용하면 실제 사람 손가락인지 실리콘이나 고무찰흙, 젤라틴으로 만든 위조 지문인지를 명확히 판별할 수 있다.
길재식 금융산업 전문기자 osolgil@etnews.com
-
길재식 기자기사 더보기