[앵커]
독일 해커그룹 ‘카오스컴퓨터클럽’에 의해 삼성전자 갤럭시S8의 홍채인식 기능이 허무하게 뚫리는 영상이 유튜브에 공개돼 화제입니다.
최근 국내에는 은행과 보험, 증권, 카드 등 전 금융권에서 삼성이 제공하는 프로그램을 통한 홍채인증 서비스가 시작됐는데요.
삼성에 기대 발 빠른 핀테크 서비스를 선보였지만, 보안에 구멍이 난 금융사들은 또 다시 삼성만 바라보는 꼴이 됐습니다. 정훈규기자 나와있습니다.
[앵커]
Q. 삼성전자는 갤럭시S8에 홍채인식 기능을 탑재해 출시한 이후 강력한 보안성을 자랑해 왔는데요. 독일 해커들은 어떻게 뚫어낸 건가요?
[기자]
네, 저도 유튜브에 올라온 영상을 확인해 보기 전까지는 해커들이 뚫었다고 해서 복잡한 프로그래밍이 동원된 것으로 생각했는데요.
실제 영상을 봤더니, 방법은 너무도 간단했습니다.
이들은 벤치에 앉아 스마트폰을 보던 한 남성이 고개를 정면으로 들자 디지털카메라로 얼굴을 확대 촬영했는데요.
이후 눈을 중심으로 사진을 다시 확대한 뒤 레이저프린터로 출력했습니다.
또 평평한 사진을 실제 눈처럼 볼록하게 보이기 위해서 흔히 사용되는 콘택트 렌즈를 동원했는데요.
사진 속 눈동자에 맞춰 콘택트 렌즈를 올린 뒤 이를 홍채 카메라에 보였더니 보안 기능이 풀려버렸습니다.
[앵커]
Q. 독일 해커들의 주장에 따르면 너무도 쉽게 해킹이 가능한 셈인데요. 불안할 수밖에 없는 것은, 국내의 경우 많은 금융회사들이 삼성의 홍채기술을 활용한 서비스를 제공하고 있지 않습니까?
[기자]
네, 은행과 보험, 증권사 등 전 금융권이 최근 갤럭시S8 출시에 맞춰 발 빠르게 홍채인증 서비스를 내놨는데요.
삼성전자의 도움이 있었기 때문에 이렇게 신속하게 서비스를 출시할 수 있었던 겁니다.
삼성전자는 독자 개발한 생체인증 플랫폼인 삼성패스의 API를 일종의 오픈 소스처럼 금융사들에게 개방해 왔는데요.
비유하자면 식당을 차리고 싶은데 자체적으로 메뉴 개발을 하려면 돈도 많이 들고 어려우니, 이미 레시피가 다 마련된 프랜차이즈 식당을 여는 것과 비슷합니다.
더구나 삼성패스는 무료로 제공되는데요.
삼성전자의 홍채 기술로 손쉽게 핀테크를 도입할 수 있다 보니 현재는 거의 전 금융권에 퍼진 상황입니다.
시중은행 중에는 신한·우리·KEB하나은행, 보험사 중에는 삼성·동부화재, KB손보 등이 있고, 또 삼성카드 등 카드업계도 삼성패스를 통한 홍채인증 서비스를 하고 있습니다.
[앵커]
Q. 삼성 홍채인식 기술을 바탕으로 서비스를 내놓은 금융사들은 대책 마련이 시급해 보이는데, 상황이 어떻습니까?
[기자]
네, 핀테크라는 큰 흐름 속에 개발 부담을 덜어준 삼성전자는 금융사들에게 고마운 존재인 것은 분명한데요.
이렇게 문제점이 발견되니, 스스로 대응할 방법은 마땅치 않습니다. 삼성전자의 보안패치만 기다리는 상황인데요.
일단 이번 일로 당장 서비스 중단까지 고려하는 금융사는 없는 것으로 파악됩니다.
현재 홍채인증 서비스는 조회에만 국한되는 등 사용 범위가 좁아 고객의 금전적 피해가 발생할 가능성은 없다는 이유입니다.
예를 들어 은행에서 이체는 홍채가 공인인증서를 대신 하지만, 계좌비밀번호 등을 추가로 알아야 가능합니다.
보험사의 경우 보험금 청구는 지정된 고객의 계좌로만 자동 입금되고 심사 절차 등이 있어 피해 발생 가능성은 없는 것으로 판단하고 있습니다.
그런데 이런 설명들을 듣다 보면, 서비스 출시 당시 눈동자 만으로 거래가 가능하다고 대대적으로 홍보했던 그 회사들이 맞나 하는 생각이 듭니다.
[앵커]
Q. 금융사 스스로 보안대책은 없는 셈이군요. 그렇다면 삼성전자는 어떤 입장을 내놨습니까?
[기자]
네, 삼성전자는 영상처럼 해킹하는 것이 실생활에서는 불가능하다고 밝혔는데요.
일반인들이 시중에서 구할 수 있는 카메라로는 절대 가능하지 않다는 겁니다.
또 고성능 적외선 카메라와 고해상도 프린터 등이 있어도 확률이 지극히 낮은데다, 사용자의 협조와 사용자의 스마트폰까지 있어야 가능하다는 설명입니다.
그런데 녹색소비자연대가 지난해 말 내놓은 자료에 따르면 최근 5년간 휴대폰 분실 건수가 연평균 114만건에 달하고, 이중 주인을 찾는 비율은 3.3%에 그쳤습니다.
특히 스마트폰은 열어볼 수만 있다면 사진첩이나 SNS앱 등을 통해서 주인이 누구인지 알아내는 것이 어렵지도 않은데요.
장비 등 조건이 어렵다고 해도 보안을 뚫을 방법이 영상으로 공개된 이상 이를 모방한 범죄 시도가 없을 것이라 장담하긴 어려워보입니다.
[앵커]
Q. 유튜브 영상과 같은 방법으로 해킹될 가능성이 0%가 아닌 이상 고객들은 불안할 수 밖에 없는데요. 금융권 생체인증 서비스, 속도 보다 안전을 위한 숨고르기가 필요한 시점이 아닐까요?
[기자]
앞서 지난해 주요 은행들은 스마트폰 홍채인증을 도입했다가 갤럭시노트7 단종으로 사용할 기기가 없어지면서 서비스를 중단한 바 있는데요.
금융회사들이 자사가 제공하는 서비스의 안전과 운명을 완전히 다른 회사에 내맡기고 있는 셈입니다.
특히 이번 일은 보안에 구멍이 발견됐다는 점에서, 지난해 단말기가 단종과는 차원이 다른 문제인데요.
이번 일로 실제 피해가 없더라도, 앞으로 고객들은 굳이 완벽해 보이지 않는 생체인증을 금융거래 때 써야 할지 고민할 수 밖에 없습니다.
은행을 필두로 국내 금융권은 지난 몇 년 간 정부주도 하에 핀테크서비스를 경쟁적으로 선보여 왔습니다.
경쟁에만 매몰돼, 그간 설익은 핀테크 서비스들을 쏟아낸 건 아닌지 돌아볼 때라는 생각이 듭니다.