2001년 4월 Crypto-Gram 뉴스레터에 일본의 한 암호학자가 젤라틴을 이용해 만든 가짜 손가락에 지문을 복제했다는 글이 실렸다. 그것도 첨단 테크노 기기가 아니라 우리 주변에서 흔히 구할 수 있는 것을 이용해 툴을 제작했는데 툴 제작에 든 비용은 10불 정도였다고 한다.
트릭은 간단했다. 유리잔에 묻은 지문을 채취해서 디지털 카메라로 찍은 후 포토샵으로 투명 이미지를 만들어 photo-sensitive printed-circuit board 를 사용해 투명 지문을 각인, 3차원 영상으로 만든 후 젤라틴을 입혀 가짜 손가락을 만들었다.
이렇게 만들어진 젤라틴 손가락으로 시도해본 결과 현재 시판되는 지문 감식 디바이스의 80%, 11개사가 제조한 지문 감식기를 속일 수 있었다고 한다. 영화에서나 보는 이야기들이 현실에도 등장하는 것이다.
그런지 얼마 후 보다 상세한 내용이 독일의 유명한 테크놀로지 매거진 c't 에 실렸다.
기사에 의하면 독일 정부는 바이오메트릭 제품에 대한 안전도 테스트를 진즉부터 했던 모양이다. 2000년 독일 정부는 담스타트에 위치한 프라운호퍼 연구소 합작으로 바이오메트릭 제품의 안전도 테스트를 실시했는데 제조사의 압력으로 테스트 결과는 일반에 발표되지 않았다고 한다.
그래서 c't 가 직접 테스트에 나선 모양이다. c't는 현재 시판중인 11개의 Biometric 제품을 대상으로 얼굴, 지문, 홍채인식의 안전도 테스트를 실시했다. 그리고 그 결과를 2001년 4월 21일자 기사에 대문짝만하게 대서특필했다.
#image2
c't의 테스트 결과에 의하면 대부분 디바이스들은 완벽한 보안을 보장한다는 제조사의 주장과는 달리 보안제품 이라기 보다는 어린애 장난감 수준에 불과했다고 한다. c't는 예를 들어 테스트 결과를 설명한다:
1. 얼굴인식 디바이스
c't는 현재 시판중인 Cognitec's FaceVACS-Logon 을 테스트 했다. 등록된 사용자의 얼굴을 찍은 비디오 클립을 노트북에 실행시켜 보여주는것만으로 쉽게 해킹이 가능했다. 디지털 카메라로 찍은 이미지 파일도 마찬가지였다.
좀 더 높은 보안 레벨로 제조했다는 Live-Check 도 사용자가 머리를 움직이는 동영상을 보여주자 해킹이 가능했다.
2. 지문인식
지맨스사의 지문감식용 아이디 마우스는 센서 위에 묻은 사용자의 지문에 크게 숨을 불거나, 물을 담은 얇은 奏拈湧?센서 표면에 놓는 것만으로 아주 간단히 해킹할 수 있었다.
좀더 기술적인 방법으로 파우더로 뜬 사용자 지문을 센서 표면에 대고 가볍게 눌러주거나, 경찰이 사용하는 지문 채취기로 유리잔이나 CD에 묻은 사용자 지문을 채취한 후 디지털 카메라로 찍은 사진을 이용하거나, 녹인 양초와 실리콘으로 인조지문을 만드는 것도 포함되어 있다. 이 모든 테스트에서 지맨스사 마우스의 보안은 맥없이 무너졌다.
테스트한 제품들 중에는 컴팩 iPAQ도 포함되어 있었다. 물론 해킹 가능했다.
3. 홍채인식.
테스트팀은 파나소닉의 BM-ET100 에 사용자의 눈을 찍은 홍채 이미지 파일을 노트북으로 보여주었다. 이 방법은 먹혀들지 않았다. 그러나 사용자의 눈을 디지털 카메라로 찍어 눈의 중간 홍채부분에 구멍을 뚫고 그 구멍 뒤에 아무 사람이나 눈동자를 갖다댔더니 해킹이 가능했다.
이에 대해 파나소닉은 사용자의 홍채 이미지를 구하기가 쉽지 않기 때문에 심각한 문제가 아니라고 말했다.
c't 는 테스트 결과를 다음과 같이 요약하고 있다.
1. 바이오메트릭 솔루션은 안전을 보증하지 못한다. 따라서 PID나 패스워드를 병행해서 사용하는 것이 바람직하다.
2. 지문 스캐너는 사용후 반드시 닦아서 지문이 남아있지 않도록 해야한다.
c't는 이밖에도 USB 디바이스로 전송되는 바이오메트릭 데이타를 도청해 엑세스에 사용하는 방법도 테스트 중이라 한다.
