최근 스마트폰을 교체하거나, 인터넷 뱅킹을 할때 생체인증을 사용하는데요.
이중 아이폰에서 생체인증 수단 중 안면인식으로 설정한 경우
오히려 보안에 취약할 수 있다는 이슈가 발생하였습니다.
아이폰 생체인증 Face ID
아이폰은 생체인증 방식으로 안면인식을 활용한 Face ID를 사용하고 있습니다.
사용자의 얼굴을 인식하여 아이폰을 잠금 해제 하거나, 구입 결제 그리고
앱에서 인증에 활용하는데요.
이번에 이 보안취약점이 발견되었다고 합니다.
생체인증 보안 취약점
바로 스마트폰 인증에 주로 사용되는 Pass앱에서 보안 취약점이 발견된 것인데요.
현재 PASS앱은 SK텔레콤·KT·LG유플러스 등 국내 이동통신 3사가 개발한 간편인증 앱입니다.
거기다기 모바일 주민등록증, 운전면허증 등 각종 본인확인을 비롯해
▲온라인 서류발급 ▲금융거래 ▲계약서 전자서명 등에 이용할 수있는 인증앱인데요.
작년 기준 PASS 앱 이용자는 3600만명으로 전국민의 거의 80%가 사용하고 있으며,
같이 서비스하는 모바일 운전면허 확인 서비스 이용자는 470만명에 달한다고 합니다.
기본적으로 안드로이드 이용자들은 인증하고자 하는 사이트에서 이름과 전화번호를 입력하고
PASS 인증요청을 누르면 비밀번호, 지문 중 하나로 인증이 가능합니다.
아이폰 이용자는 비밀번호와 Face ID를 이용한 안면인식 중에서 인증이 되는 구조로 되어 있습니다.
이때 안면인식의 경우 인증요청이 왔을 때 화면을 쳐다보기만 해도 자동으로 인증된다는 점이 취약한 점입니다.
바로 해킹범들이 타인의 이름과 전화번호를 확보, 이를 이용해 아이폰의 PASS 앱 인증요청을
보낼 경우 범죄에 악용될 수 있는 우려가 있는데요.
우리가 알람이 와서 무의식적으로 화면을 쳐다보는 사이 인증하게 만드는 수법이 가능한 것입니다.
현재 추가 대책
해당 이슈에 대해 SK텔레콤은 3월 초 추가 인증 수단인 ‘패스키’를 도입하여 해결했습니다.
바로 아이폰 이용자가 PASS 알림 팝업창을 선택해도 인증하기 위해 별도의 비밀번호를
한번 더 입력하는 방식입니다.
반면, KT·LG유플러스는 PASS 추가 인증을 도입하지 않으면서 취약점이 무방비로 노출된 상태라고 합니다.
이에 PASS앱을 사용하시는 분이라면 한번 꼭 보안 이슈를 점검해보시기 바랍니다.
빨리 앱 제조사에서 문제를 해결해야 하며, 그 전까지는
꼭 인증을 어디서 했는지 확인하는 습관을 기르시면 좋을 것 같네요.