[이슈분석]1000만개 엄지지문, 해킹 도구로 악용...국가 마비될수도

#공덕역 2번 출구에 위치한 무인민원발급기. 타인의 주민등록증 뒷면에 노출된 오른쪽 엄지지문 형상을 점토에 복사했다. 설마 '정부에서 운영하는, 게다가 민감한 개인정보는 물론 돈이 오가는 서류에 위조한 지문이 사용가능할까?'라는 의구심이 들었다. 그러나 의문이 무색하게 5분여만에 각종 서류 인출이 가능했다.

플라스틱 주민등록증 뒷면 인쇄된 지문과 점토 진흙으로 주민등록증, 행정문서 등 각종 등기부 등본을 출력할 수 있다. 생체인증기관 리얼아이덴티티 직원이 주민등록증으로 위조 지문 제작과정을 보여주고 있다. 김동욱기자 gphoto@etnews.com
플라스틱 주민등록증 뒷면 인쇄된 지문과 점토 진흙으로 주민등록증, 행정문서 등 각종 등기부 등본을 출력할 수 있다. 생체인증기관 리얼아이덴티티 직원이 주민등록증으로 위조 지문 제작과정을 보여주고 있다. 김동욱기자 gphoto@etnews.com

각종 해킹 기법이 지능화하면서 이제는 사람의 신체가 없어도 주민등록증 지문을 위·변조해 생체정보를 탈취할 수 있게 됐다.

최근 3차원(3D) 프린터로 지문을 위조해 50억원 상당의 땅을 팔거나 초과근무수당을 실리콘 지문으로 악용해 챙긴 사례, 본드 위조지문으로 입국심사대가 뚫리는 생체보안 해킹 사례가 잇따랐다.

하지만 한발 더 나아가 주민등록증에 코팅된 지문을 스마트폰으로 촬영, 위·변조가 가능한 사례는 처음 확인됐다. 해외 일부 국가에서 분실한 한국 주민등록증을 암암리에 거래하는 것으로 나타났다.

생체 정보는 한번 유출되면 교체가 불가능하다. 전자신분증 도입을 서둘러야 하는 이유다.

◇나의 생체정보가, 주민등록증에 고스란히 담겼다.

2012년 이후, 분실된 주민등록증은 1300만건이 넘는다. 이중 단순 분실이 962만건이다.

다시 말해 1000만개 이상의 개인 지문이 세상에 돌아다니고 있다. 이를 악용한다면 한국 기관망을 마비시킬 정도의 '지문 대란'이 올수 있다는 게 보안 전문가들의 주장이다.

최근에는 지문 인식 장치를 스마트폰 뿐 아니라 PC, 키보드, 노트북 등 각종 IT기기에서 사용하는 파이도 2.0 시대가 도래했다.

100대가 넘는 노트북 제조사가 지문센서를 국제생체표준(FIDO)에 근거해 출시하고 각종 IT기기를 연동할 때 지문을 인증 수단으로 활용한다. 최근에는 금융권에서 지문인식 신용카드를 개발하면서, 지문인식 적용범위가 확대되고 있다. 미국 마이크로소프트(MS)는 스웨덴 핑거프린트카드(FPC)의 지문인식센서를 탑재한 키보드를 출시했고, 삼성전자 노트북9 올웨이즈, LG전자 올데이그램 등에서도 자판 오른쪽 부분 하단에 지문인식센서를 추가했다.

현 주민등록증 체계가 계속 유지된다면, 해커 집단이 다양한 IT기기 뿐 아니라 금융, 국가 서비스 등으로 타인의 지문을 악용할 범위가 점점 넓어지는 셈이다.

전자신문과 리얼아이덴티티가 주민등록증 뒷면 타인의 지문을 위·변조해 무인발급기에서 각종 서류를 뽑는데 걸린 시간은 30분 남짓이다.

주민등록증에 노출된 지문은 스캔장비와 프로그램만 있으면 10분 이내 복제가 가능했다.

이 지문을 갖고 무인민원 발급기에서 서류를 뽑는데도 5분이 채 소요되지 않았다. 손가락 위치가 맞지 않아 두번 실패했다. 3회째 인증이 성공했다. 물론 실패를 거듭해도 제한은 없었다. 지문 관리 체계가 엉망이란 결론이다.

일반 사람까지 스캔장비 등만 있으면 손쉽게 지문을 찍어내고, 돈이 오가는 민감한 행정 서류까지 발급받을 수 있다. 심각한 문제다.

특히 전국 3000여곳이 넘는 무인발급기가 복제에 더 취약한 광학식 지문인증 방식을 채택하고 있다. 위조 지문 하나만 있으면 별도 보안 체계 없이 뚫린다. 지문 인증 실패에 따른 횟수 제한도 없어 범죄의 먹잇감으로 제격이다.

국제적으로는 생체인증 위·변조 사례가 급증하자 민간 분야에서도 이를 해결하기 위한 다양한 방안을 강구 중이다. 구글은 최근 센서와 폰 제조사에게 위조오인식율(SAR)을 7%이하로 낮추도록 요구했다. 혹은 복합생체기술(지문+안면 등)을 구현하거나 실제 사람의 지문 인지 시 땀 등을 전기적 특성으로 판별하는 기술 고도화를 추진중인 곳도 있다.

하지만 한국은 지문이 그대로 노출된 주민등록증 체계를 유일하게 유지하고 있다. 전자신분증 체계를 조속히 도입하지 않고서는 현 체계를 바꿀 수 없다.

◇행안부 등 정부부처, 전자신분증 체제로 전환해야

지문을 신분증에 그대로 노출하는 곳은 한국 뿐이다. 이미 해외 40개국에서는 전자신분증을 쓴다. 이 신분증에는 10가지 이상의 기능을 통합 구현한다. 아예 비자, 마스터카드 등 글로벌 프로세싱기업과 협력해 통합 전자신분증을 만드는데 소요되는 비용을 민간이 부담하는 사례도 있다. 실제 일부 국가는 신용카드 기능을 신분증에 탑재하는 조건으로 전자신분증에 소요되는 개발비용을 해결했다.

지문은 편리한 보안 수단이다. 보안이 취약하다기 보다는 사후 관리가 되지 않고 있다는 지적이 정확하다. 오히려 지문을 노출한 주민등록증 체계를 바꾸고 전자신분증을 각종 영역에 '라이선스 수단'으로 활용해야 한다는 목소리도 있다.

최운호 한국정책학회 부회장은 “복수의 지문인증 체계를 도입해 재난·재해시 ATM이나 POS단말기로 본인을 인증하고 일정 돈을 인출하는 데 활용할 수도 있다”며 “한 손가락의 지문은 정상결제 용도로 등록하고 다른 손가락 지문은 경찰 신고용, 혹은 재난·재해에 대비한 긴급 상황 본인인증 방안으로 활용할 수 있도록 해야 한다”고 설명했다.

국제 암거래 조직 등이 한국 주민등록증 내 지문을 악용할 경우 신분 세탁용 도구로 재생산되는 국가 재난 수준의 사회적 문제도 발생할 수 있다.

실제 해외 여러 국가는 지문을 IC칩에 내장하고 PKI형태로 저장한다.

익명을 요구한 보안업계 대표는 “파이도 2.0시대가 열리면서 생체인증 확산, 그것도 지문을 이용하는 사례가 급증하고 있다”며 “금융결제원에서 생체정보를 분산저장해 안전하다고 하는데, 이미 오른손 엄지 생체정보가 모두 노출돼 있는데 분산저장이 아무런 의미가 없다”고 지적했다.

길재식 금융산업 전문기자 osolgil@etnews.com