보안

지문인식시스템, 일주일 만에 해킹

편집부 | CIO 2008.07.03
네덜란드의 대형 식료품 체인에 도입된 지문 인식 지불 시스템이 도입 일주일 만에 깨져서 관심을 모으고 있다.

네덜란드의 식료품점 체인 알베르트 헤이진(Albert Heijn)은 Tip2Pay 지문인식 지불 시스템을 도입했는데, 한 보안 전문가가 복제된 지문을 이용해 대금을 지불하는데 성공한 것이다. 알베르트 헤이진은 네덜란드 최대의 식료품점 체인으로, 연매출 440억 유로의 글로벌 수퍼마켓 그룹인 아홀드(Ahold)의 일원이다.

생체 보안 전문업체인 ATOS에서 직원이었던 보안 연구가 톤 반 데 푸테(Ton van der Putte)는 Tip2Pay 시스템에 도입된 고무판에서 지문 복사본을 만들어냈고, 헤이진의 관리팀은 이를 탐지해 내지 못했다. 지문 복사본을 얻는 방법도 간단했는데, 유리에 남아있는 지문 만으로도 사용할 수 있는 지문 복사본을 만들기에 충분했다고 한다.

하지만 이번 일은 이미 예견된 것이다. 보안 전문가들은 헤이진이 이 시스템을 도입하려고 할 때 이미 기술의 안전성에 대해 경고를 했기 때문이다. 하지만 알버트 헤이진은 이런 경고를 그리 심각하게 받아들이지 않았으며, 공식 코멘트에도 보안 문제는 언급하지 않았다.

반 데 푸테는 생체 보안쪽에 오랜 경력을 가지고 있는 전문가로, 1990년 이후에 지문을 이용한 인증은 이를 보완할 방법이 필요하다는 것을 몇몇 실험을 통해 보여주기도 했다.

2004년에는 카오스 컴퓨터 클럽이 지문이 쉽게 복사될 수 있다는 것을 보여줬는데, 카오스 컴퓨터 클럽은 지문 복사본을 만드는 방법까지 소개했다. 또한 작년에는 독일에서 알버트 헤이진에 도입된 시스템과 유사한 기술을 사용하는 시스템이 해킹된 사례도 있다.

생체 보안 전문업체인 BioXS는 알버트 헤이진의 시스템이 매우 엉성한 구조를 갖고 있다고 지적했다. 또한 이번 사건이 생체인식 전반에 대한 불신으로 이어질까 걱정된다는 입장이다.

알버트 헤이진의 대변인은 이번 일이 진정한 보안 위협을 나타내는 것은 아니라고 설명했다. 해킹 시험을 위해 등록된 사용자가 해커에게 지문을 제공했기 때문이라는 것이다. 또한 실제 고객이 위험에 처하는 일은 없을 것이라고 밝혔다. 현재 시스템은 일일 사용한도가 정해져 있으며, 사기가 발견되면 해당 고객에게 보상해 준다는 원칙을 갖고 있다. 이와 함께 현재 시험 운용 중인 Tip2Pay를 대규모 적용할 때는 추가적인 보안 장치가 도입될 것이라고 말했다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.