해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 

  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 사건사고
2019/9/8(일)
조회: 109
생체 인증에 어두운 기운을 드리운 사건 7  
크리덴셜 스터핑 공격과 계정 탈취 공격이 득세하기 시작하면서 사이버 보안 전문가들의 밤은 더욱 짧아지고 있다. 그러면서 비밀번호 무용론이 힘을 얻기 시작하고, 대안으로 생체 인증이 거론되는 횟수가 늘어나고 있다.

[이미지 = iclickart]


하지만 보안이라는 것이 늘 그렇듯, 간단한 답이 나오는 경우는 거의 없다. 비밀번호로 안 된다고 해서 생체 인증을 쓰면 그만이라는 답은 지나치게 간단하다. 물론 생체 인증이 사용자 이름과 비밀번호를 입력하는 것보다 강력한 건 사실이다. 그러나 생체 인증에는 생체 인증만의 위험이라는 게 존재한다. 최근 일부 전문가들과 공격자들은 이 생체 인증만의 위험을 파고드는 데 성공하며 생체 인증 만능론에 경각심을 불러일으키기도 했다. 이번 주말판에서는 이 사건들을 정리해본다.

1. 바이오스타2 침해 사건
생체 인증에 사용되는 정보는 물리적으로 고유하기도 하지만 영구하기도 하다. 그래서 인증에 적합하기도 하고, 부적합하기도 하다. 공격자들이 쉽게 흉내 낼 수 없다는 점에서 안심할 만하지만, 한 번 빼앗기면 바꿀 수 없다는 점이 치명적으로 작용할 수 있기 때문이다. 이를 잘 나타내는 게 바로 수주 전 발생한 바이오스타2(Biostar2) 정보 노출 사건이다. 생체 인증을 저장하고 있던 서버가 보호되어 있지 않고, 데이터는 암호화하지도 않아 1백만 명의 정보가 고스란히 노출되어 있었던 것이다. 문제의 DB에는 23GB의 안면 인식 정보, 지문 정보, 사용자 이름, 비밀번호가 저장되어 있었다.

2. 미국 인사국(OPM) 해킹 사건
2015년 일어난 사건이라 ‘최신’으로 분류하기에는 무리가 있지만, 560만 명에 달하는 연방 정부 기관 직원들의 지문 정보가 도난당했다는 건 생체 인증 분야의 위험성을 드러내는 대표적인 사건으로 꼽힌다. 여기에는 일급 국가기밀을 다룰 수 있는 요원들의 생체 정보도 포함되어 있었기 때문에 미국이라는 국가로서는 대단히 치명적이었다.

3. 삼성 갤럭시 S10 지문 스캐너 해킹
바이오스타와 미국 인사국 사건의 문제는, 공격자들이 훔쳐 낸 정보를 가지고 밀랍이나 3D 프린터 등을 통해 복제품을 간편하게 만들 수 있다는 것이다. 이로써 범인들은 가짜 지문을 가진 손가락 모형이나, 피해자와 똑같이 생긴 마스크를 만들어 생체 정보 리더기나 스캐너를 속일 수 있게 된다. 하지만 스캐너 자체를 해킹하면 어떨까? 오히려 더 간단하게 공격을 성사시킬 수 있다. 지난 4월 삼성의 최신 장비의 지문 스캐너가 해킹될 수 있다는 사실이 밝혀지면서 이 가능성이 실제임이 드러났다.

4. 미국 세관 및 국경 보호대 안면 인식 정보 유출
올해 여름, 미국 정부는 ‘세관 및 국경 보호대(CBP)’의 하도급 업체에서 서드파티 침해 사고가 있었다고 발표했다. 이 사고로 안면 인식을 위한 이미지들이 다량으로 침해됐다는 내용이었다. 국경을 오가는 시민들의 안면 정보 중 약 10만 개의 이미지가 새어나갔고, 여러 차량 번호판 정보도 보너스처럼 탈취됐다. 해킹 사건을 겪은 하도급 업체는 퍼셉틱스 LLC(Perceptics LLC)로, 내부적인 실수가 아닌 외부자의 악성 공격에 당한 것이라고 발표했다.

5. 가짜 손, 정맥 인증을 통과하다
정맥 인증은 지문 인식 기술의 약점을 보완하기 위해 나온 생체 인증 기술이다. 그러나 정맥 인식도 그 나름의 취약점을 가지고 있다. 작년, 일부 보안 전문가들은 밀랍으로 가짜 손을 만들고, 그 위에 정맥 인증 정보를 입혀 후지쯔와 히타치에서 나온 정맥 스캐너를 속이는 데 성공했다. 그 가짜 손을 만드는 데에는 약 한 달의 시간이 필요했고, 공격자들은 2500여 장의 사진을 사용했다고 한다.

6. 지문 정보, 이미 시장에서 거래되고 있었다
올해 초 보안 업체 카스퍼스키 랩스(Kaspersky Labs)의 보안 전문가들은 도난당한 디지털 지문들이 사이버 범죄자들의 시장에서 거래되고 있는 걸 발견했다. 거래되는 정보의 양과 질을 보니, 이미 해커들은 오랜 시간 생체 인증을 뚫어내기 위한 준비를 해왔다는 걸 알 수 있었다고 한다. 지문만이 아니라 행동 패턴을 통한 인증 시스템을 무력화시키기 위한 ‘디지털 핑거프린팅 정보’도 다크웹에서 활발히 거래되고 있다.

7. 음성 합성을 통한 음성 인증 뚫기
생체 인증의 해킹 가능성이 자꾸만 증명되자 일부 보안 전문가들은 음성 인식이야말로 뚫어낼 수 없는 것이라고 반박했다. 하지만 그건 사실이 아니다. 작년 블랙햇(Black Hat) 행사에서 약 10분 정도 이어지는 음성 정보와 샘플만 있으면 다양한 음성 인증 시스템을 크랙할 수 있다는 것이 증명된 바 있다. 연설이나 강연을 자주 하는 유명 인사들이 표적이 될 경우, 10분 정도의 발화 샘플을 취득하는 게 그리 어려운 일은 아니다. 게다가 유튜브가 요즘 대세가 되면서 10분의 음성 샘플을 얻어내는 건 간단한 일이 되기도 했다.
  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
9483 이슈    12억 원 벌어들인 19세 소년 화이트해커 2019/09/08
9482 사건사고    로버트 다우니 주니어, SNS 해킹당했다 복구..해커들 조롱까지 2019/09/08
9481 사건사고    생체 인증에 어두운 기운을 드리운 사건 7 2019/09/08
9480 이슈    "doc 문서파일 형태 악성코드 확산" 안랩, 해킹위험 주의 당부 2019/09/07
9479 이슈    뇌를 읽고 쓰고 훔치는 '뉴런자본주의(Neurocapitalism)' 온다 2019/09/07
9478 사건사고    트위터, '해킹' 피해로 문자전송 통한 트윗 기능 일시 중단 2019/09/07
9477 사건사고    "中 해커, 위구르족 감시 위해 아시아 통신회사 해킹 의혹" 2019/09/07
9476 사건사고    오스트리아 제1당 국민당 "총선 앞두고 해킹 당해" 2019/09/06
9475 이슈    이스트시큐리티, '해킹' 예방하는 5가지 수칙 공개 2019/09/06
9474 사건사고    암호화폐 거래사이트 오케이엑스 "해킹루머 사실무근" 2019/09/06

 
목록