본문 바로가기

새소식/iOS

베트남 보안 연구팀, 페이스 ID 우회 성공했다고 주장

애플은 아이폰 X에 들어간 얼굴인식 생체 인증 방식인 페이스 ID가 무작위의 사람에게 뚫릴 확률이 100만 분의 1이라고 밝혔습니다. 이 수치는 기존 지문 인식 방식인 터치 ID의 20분의 1인데요. 아이폰 X의 출시 1주일 후 이 방식을 뚫어냈다는 주장이 나왔습니다.

이 주장은 베트남의 보안 연구팀인 Bkav에서 나왔는데요, 이들이 공개한 영상에서는 아이폰 X의 페이스 ID가 정교하게 만들어진 마스크에 의해 뚫리는 모습이 그려집니다. Bkav는 일반 소비자 수준의 3D 프린터와 손으로 직접 빚은 코, 그리고 얼굴의 2D 인쇄본과 특수 제작한 얼굴 표면을 활용했다고 밝히며, 모든 것을 만드는데 단 150달러가 들었다고 밝혔습니다.

하지만 영상을 보면 석연치 않은 부분이 꽤 많습니다. 일단, Bkav는 아이폰이 마스크에 의해 잠금이 해제되는 것만 보여줍니다. 만약에 이 방식에 자신이 있었다면 3D로 재창조한 이 얼굴의 기반이 된 사람의 얼굴로 먼저 잠금 해제를 하는 모습을 보여줬겠죠. 즉, 애초에 저 마스크를 쓴 모습으로 페이스 ID를 최초 등록했을 가능성, 혹은 원래 얼굴로 최초 등록을 했더라도 마스크를 이용해 페이스 ID를 훈련시켰을 가능성도 남아있는 것입니다. Bkav는 나중에 이 가능성을 부인했습니다.

또한, Bkav는 이러한 발견 결과를 애플과 공유하지 않은 것으로 알려졌는데, 이 부분도 많은 의아를 자아내고 있습니다. 이러한 보안 취약점이 발견되면 제조사와 공유하는 보안업계의 기본적 예의를 완전히 무시한 태도죠. 그렇다 보니 테크크런치에 따르면, 애플은 이러한 Bkav의 주장에 의문을 품고 있다고 합니다. 또한 테크크런치를 포함한 많은 언론 매체들이 Bkav에게 다양한 질의를 보냈지만, 묵묵부답이었다고 합니다.

실제로 애플은 아이폰 X의 발표 당시 페이스 ID에 사용되는 신경망의 훈련을 위해 할리우드의 전문 제작자들이 만든 마스크를 이용했다고 밝혔습니다. 그리고 와이어드와 월 스트리트 저널 등에서 리뷰어들의 얼굴을 본떠 Bkav의 방식보다 훨씬 정교하게 만든 마스크를 사용한 결과, 페이스 ID를 속이는 데 실패하기도 했습니다. Bkav의 주장에 신빙성이 떨어지는 이유가 바로 여기에 있습니다.

그렇다면, Bkav의 주장이 사실이라고 가정해보죠. 아이폰 X을 구매하게 될 여러분이 걱정해야 할 만한 사안일까요? 답은 “아니다”입니다. Bkav는 이 마스크를 제작하기 위해 목표의 정확한 얼굴 수치나 아니면 3D 스캔이 필요하다고 밝혔습니다. 이 마스크의 경우 5분 동안 피실험자의 얼굴을 휴대용 스캐너로 일일이 스캔했다고 하는데, 이러한 방식은 일반적인 상황에서는 해킹을 하려는 사람 몰래 한다는 것이 매우 힘듭니다. 차라리 지문 인식 센서 해킹을 위해 지문 샘플을 채취하는 것이 쉽다면 더 쉬웠을 겁니다.

물론 생체인증은 어떤 방식이던 완벽하지 않습니다. 상대방이 뚫겠다고 작정한다면 결국은 뚫리게 되기 때문이죠. 어느 상황에서든 기기를 잠그려면 복잡한 패스코드가 제일 안전한 방법일 것입니다. 하지만 아직까지 생체인증 방식을 전문가가 아닌 사람이 목표인 사람 몰래 생체인증을 뚫어낼 수 있는 방법이 뚜렷하지 않은 상황에서, 이렇게 통제된 환경에서 뚫렸다는 이유로 페이스 ID나 터치 ID 등을 비롯한 생체인증 방식에 심각한 보안성 결함이 있다고 주장하기는 어려워 보입니다.

필자: 쿠도군 (KudoKun)

컴퓨터 공학과 출신이지만 글쓰기가 더 편한 변종입니다. 더기어의 인턴 기자로 활동했었으며, KudoCast의 호스트로도 활동하고 있습니다.


참조
You probably don’t need to worry about someone hacking your iPhone X’s Face ID with a mask - 테크크런치
Hackers Say They've Broken Face ID a Week After iPhone X Release - 와이어드