삼성전자의 갤럭시S8이 자랑하는 홍채인식 보안에 문제가 있다는 주장이 나와 눈길을 끈다. 독일 해커집단 '카오스컴퓨터클럽(CCC)'이 갤럭시S8 홍채인식 보안을 뚫을 수 있다는 점을 증명했기 때문이다.

CCC 홈페이지에 올라온 영상을 실제로 확인한 결과 방식은 다음과 같다. 도구는 소니 디지털 카메라, 삼성 레이저프린터, 콘택트 렌즈다. 카메라로 홍채 사진을 찍고 프린터로 인쇄한 후 인쇄된 종이에 콘택트 렌즈를 올려 안구의 곡면을 복원한다. 이후 갤럭시S8 홍채인식을 시도하면 보안이 풀리는 프로세스다.

▲ CCC의 홍채인식 보안 해킹. 출처=캡처

이에 앞서 지난 2014년 CCC는 독일 국방부 장관의 스마트폰을 해킹한 바 있는데, 당시 고해상도 CCTV 카메라로 장관 스마트폰에 묻은 지문을 확보, 위조된 지문인식 정보를 삽입하는데 성공한 바 있다. 당시 이들은 이러한 방식이 홍채인식 시스템 공격에도 사용될 수 있다고 강조하기도 했으며, 실제 시연을 보여주기도 했다. 초고해상도 CCTV로 홍채 및 망막을 인식, 이를 바탕으로 해킹에 성공할 수 있다는 점을 밝혔기 때문이다.

▲ CCC의 홍채인식 보안 해킹. 출처=캡처

일단 삼성은 보기에 간단해 보이지만 현실에서는 구현하기 어렵다는 입장이다. 내부 연구를 통해 이러한 방식은 인식률이 상당히 낮은데다 홍채를 적외선 카메라로 찍어 고해상도로 구현해야 하는 것은 현실적으로 어렵다는 주장이다.

이를 어떻게 봐야할까. 삼성이 언론을 통해 "해킹은 상당히 어려운 일"이라는 주장을 펼치고 있으나, '뚫릴 수 있는 방식'이 있다는 점은 분명한 사실이다. 홍채인식도 만능은 아니기 때문이다. 기술의 발전으로 초고해상도 CCTV 등이 등장하고 이를 해킹해 정보를 탈취하는 일이 벌어질 수 있는 개연성도 충분히 있다.

▲ CCC의 홍채인식 보안 해킹. 출처=캡처

다만 이 문제는 홍채인식 자체의 문제로 이해해야 한다. 아직 홍채인식은 만능이 아니며, 해결해야할 지점이 많다는 것을 인정한 상태에서 차근차근 기술을 발전시켜야 한다는 말이 나오는 이유다. 참고로 최근 업계에서는 원론적인 공격과 그 외 연계 초연결 인프라의 공격에 대비해 생체인식 보안 솔루션 자체를 파편화시키거나 혼합하는 방식을 적극적으로 고려하고 있다. 나의 생체인식 기술을 적용하는 것이 아니라 다수의 기술을 연이어 확보해 이를 나눠 저장하는 방법론이다.

문제는 시간이다. 생체인식 자체가 한 번 유출되면 걷잡을 수 없는 피해를 불러온다는 점에서 다양한 방어 방법론이 등장해야 하지만, 결론에 도달하기 전 벌어지는 파상적인 공격은 상당한 리스크다. 현재 홍채인식을 금융거래에 활용하려는 시도까지 벌어지는 상황에서 자칫 관련 산업의 위축을 불러올 수 있다. 다시 비밀번호에 매달릴 수 없는 상황에서, 업계의 고민이 깊어지고 있다.

한편 갤럭시S8 자체를 둘러싼 의구심도 커지고 있다. 현 상황에서 글로벌 판매량 1000만대를 돌파하는 등 승승장구하고 있으나, 소위 벚꽃 에디션 논란과 와이파이 호환, 빅스비 만능버튼 이슈는 여전히 잡음을 일으키기 때문이다. 지금까지는 큰 문제가 없이 잘 넘어 갔으나 이러한 잡음이 갤럭시S8 브랜드 가치에 부정적인 영향을 축적할 경우 상황은 복잡해질 수 있다. 귀추가 주목된다.