‘철통 보안’을 표방한 삼성 갤럭시S10의 ‘울트라소닉 지문인식’이 3D 프린터로 만든 가짜 지문에 뚫렸다. 보안이 뚫리면 은행 애플리케이션부터 걱정해야 하는 일반 휴대폰과 달리, ‘블록체인 키스토어’를 탑재한 갤럭시S10은 임호화폐 지갑과 각 디앱(탈중앙화 애플리케이션) 상 토큰까지 유출될 우려가 있다.

지난 5일 이미지 공유 사이트 이머저(Imgur)에는 “3D 프린터를 이용해 삼성 갤럭시S10의 울트라소닉 지문인식을 속이는 시도를 했고, 성공했다”는 제목의 동영상이 올라왔다. 동영상을 게시한 ‘다크샤크’라는 아이디의 이용자는 3D 프린터로 인쇄한 가짜 지문을 갤럭시 S10 지문 스캐너에 태그했고 이내 잠금화면은 풀렸다. 이 이용자는 와인잔 사진에 함께 찍힌 지문 부분을 포토샵으로 잘라낸 뒤 이를 3D 프린터로 인쇄했다고 밝혔다.

이 가짜 지문이 갤럭시 S10의 보안을 위협할 수 있을까. 갤럭시 S10의 경우 일반 휴대폰에 비해 지문인식 하나만으로 쓸 수 있는 기능이 다양하다. 가짜 지문으로 보안이 뚫리면 금전적 피해가 발생할 소지도 많다. 은행 앱뿐 아니라, 암호화폐 지갑과 여러 디앱들이 올라와있는 블록체인 키스토어가 있기 때문이다.



우선 지문인식 하나만을 이용해 이더리움(ETH)과 ERC-20 기반 암호화폐들을 다른 지갑 주소로 송금할 수 있다. 디앱 내에서 암호화폐 결제를 진행하는 것도 가능하다. 핀(PIN) 번호 등 다른 잠금 해제 수단을 이용하는 것도 가능하나, 3D 프린터로 만든 가짜 지문만으로도 암호화폐를 송금하거나 지출할 수 있다는 얘기다.

다크샤크는 동영상 게시글에서 “(갤럭시 S10 잠금이 가짜 지문으로 풀리는 것은) 많은 우려를 불러일으킨다”며 “당신이 모르는 사이 당신의 지문을 훔칠 수 있고, 그 지문을 장갑에 프린트해 범죄를 저지르는 것도 가능하다”고 밝혔다. 또 “만약 누군가의 휴대폰을 훔치면 이미 그 휴대폰에 지문이 있을 테고, 3분 내에 그 지문을 3D 프린터로 인쇄할 수 있다”며 “15분이면 (휴대폰 앱 내의) 돈도 훔칠 수 있다”고 지적했다.

보안기업 큐브피아의 권석철 대표는 “금전적 피해 등 나중에 발생할 수 있는 문제를 최소화하기 위해선 삼성이 3D 프린팅 지문으로도 뚫리지 않는 지문인식 센서를 개발해야 한다”며 “센서 자체가 프린팅 지문과 진짜 지문을 구별할 수 있어야 한다”고 설명했다.

다만 위험이 따른다고 해서 지문인식 기능을 아예 포기할 필요는 없다는 의견도 제기됐다, 포브스는 “3D프린터로 지문을 훔쳐쓰는 일은 휴대폰을 훔친 사람이 3D프린터를 가지고 있어야 가능한 일”이라며 “대부분 사람들에게 지문인식은 충분히 안전하다”고 주장했다.
/박현영기자 hyun@decenter.kr

박현영 기자

hyun@decenter.kr