[이데일리 최연두 기자] 스마트폰 등 기기의 액정에서 손가락으로 화면을 넘길 때 발생하는 미세한 마찰음을 분석해 이용자의 지문을 알아낼 수 있다는 연구 결과가 나왔다. 스마트폰뿐 아니라 소셜미디어의 비디오·오디오 대화를 통해 마찰음을 녹음하고 이를 악용할 수 있어 이용자들의 주의가 요구된다.
15일 업계에 따르면 지난달 26일~이달 1일(현지시간) 미국 샌디에고에서 열린 세계 보안학회인 ‘NDSS 심포지움 2024’에서 이러한 내용을 담은 연구 논문이 발표됐다. 논문 저자로는 중국 화중대와 우한대, 칭화대, 그리고 미국 콜로라도대 덴버 연구팀이 공동 참여했다.
이번 ‘지문도 들린다: 지문 마찰음을 통한 지문인증 취약성 발견’ 주제 논문에서 연구팀은 기기 액정과 손가락 마찰음을 넣으면 자동으로 지문 모델을 만들어주는 인공지능(AI) 알고리즘 ‘지문리스너’를 개발했다. 지문의 굴곡과 모양에 따라 접촉 소리가 달라지는데, 이러한 소리 데이터를 패턴화해 AI를 기계학습 시켰다. 총 65명 지원자들을 대상으로 180개 손가락을 스캔한 데이터였다.
연구진은 지문리스너가 제작한 지문 모델을 3차원(3D) 프린팅, 인공 손가락을 만들었다. 해당 인공 손가락을 오탐률 0.1%의 지문스캐너에 대본 결과, 48~53%까지 속일 수 있었다. 스캐너가 인공 손가락을 실제 지문을 가진 인물의 손가락으로 잘못 인식한 비율이다.
보안 전문가들은 이번 연구 결과로 과도하게 걱정할 필요는 없다고 조언한다. 보안업체 카스퍼스키의 에녹 루트 연구원은 자사 블로그에서 “생체인증의 불완전성 등 요인은 이미 우리가 사용하는 기기 센서 논리에도 적용돼 있다”면서 “생체인증에 더해 비밀번호 입력과 같은 다른 보안인증 방법도 함께 활용한다면 더 강력한 보안책이 될 수 있다”고 설명했다.
국내 한 보안 분석가는 “자세한 건 기술을 실제로 들여다봐야 알겠지만, 스마트폰 이용자가 액정을 한 두번 잠깐 동안 만지는 것만으로 지문을 재구성하기 어려울 것으로 보인다”고 말했다. 이는 소리 정보 특성상 완벽한 정보를 담은 형태로 전달되기 어렵기 때문이라는 설명이다.
다만 그는 “안면이 없는 사람이 전화해 휴대폰을 계속 만지도록 유도한다면 지문 탈취를 의심해볼 만하다”고 덧붙였다.