2017.02.07

'셀카에서 지문추출 外'··· 5가지 최신 개인정보 위협요인

Mike Elgan | Computerworld

과장하거나 지어내 공포감을 조장하려는 이야기가 아니다. 지난 수개월 새 인터넷과 스마트폰을 통해 개인 정보를 캐낼 수 있는 새로운 방법이 5가지나 더 발견됐다.

이전에도 개인정보 보안을 위협하는 요소들이 없었던 것은 아니다. 구글이나 페이스북 같은 기업들은 오래 전부터 개인정보를 추적, 수집하고 있었고 사용자의 정보를 노리는 해커들도 여전하다. 하지만 새롭게 이름을 더한 이번 5가지 위협 요소들은 기존에는 생각지도 못했던 방식으로 개인 정보가 유출될 수 있음을 시사한다.



1. 셀카에서 지문을 추출해 낼 수 있다고?
일본 국립정보학연구소 연구팀의 최근 발표에 따르면, 손가락이 찍힌 사진만으로도 지문을 추출해 낼 수 있으며 그렇게 확보된 지문은 생체보안시스템을 뚫는데 활용될 수 있다. 오늘날의 스마트폰 카메라가 워낙 고해상도, 고화질을 자랑하기 때문에 고유의 지문을 구성하는 골과 융기를 얼마든지 복사해 지문인식 시스템을 속이는 데 활용될 수 있다는 설명이다. 이는 특히 사진을 찍을 때 손가락으로 ‘브이’나 ‘피스’ 제스처를 취하는 관습이 있는 일본에서는 큰 문제가 될 수 있다고 연구팀은 지적했다. 

물론 이를 회의적으로 바라보는 시선도 없지 않다. 우선 일본의 ‘연구팀’이 제시한 해결책부터가 미심쩍다는 지적이다. 국립정보학연구소 연구팀은 셀카를 찍을 때 특정 패턴이 프린팅된 티타늄옥사이드 필름을 손가락 위에 올려놓고 찍을 것을 해결책으로 제시하고 있다.

실용성에 의문을 품게 하는 다른 조건들도 있다. 셀카에서 지문을 추출하기 위해 요구되는 촬영 조건이 그것이다. 손가락 부위에 초점이 맞아야 하고, 조명 조건이 완벽해야 한다. 또 카메라로부터의 거리가 약 2.7미터 정도여야 하고, 무엇보다 하이엔드 스마트폰으로 찍은 사진이어야 한다. (고성능 폰들은 대부분 인물 얼굴에 초점을 맞추는 기능을 내장하고 있다.)

그러나 지문 추출은 실제로 매우 심각하고 현실적인 문제일 수 있다. 우선, 사진을 통해 지문을 추출해내는 일이 어렵지 않다. 이미 충분히 알려진 사실이다. 2년 전, 얀 크라이슬러(Jan Krissler)라는 이름의 한 독일인이 독일 국방부장관 우르줄라 폰 데어 라이엔의 사진에서 지문을 추출해 그녀의 손가락을 3D 모형으로 만든 후 그것으로 스마트폰 잠금을 해제할 수 있음을 입증한 바 있다.

둘째, 이런 일을 하는 데 필요한 추가적인 연구나 테크놀로지 같은 것도 없다. 누구나 마음만 먹으면 가능하다.

셋째로, 지문은 태어날 때 결정된 모양대로 평생 동안 유지된다. 따라서 임의로 변경이 가능한 비밀번호 유출과는 차원이 다른 문제다.

넷째로, 스마트폰 카메라 성능이 계속해서 좋아지고 있다. 머지 않아 대부분의 스마트폰에 아이폰 7이나 갤럭시 S7과 비슷한 성능의 카메라가 탑재될 것이다.

마지막으로, 해커들은 특정 인물을 노리기보다는 온라인에 업로드된 사진들을 무작위로 노리고 그것을 시작점으로 삼을 가능성이 크다. 특정 인물을 지정해 지문을 추출하려면, 그 사람의 손가락이 찍힌 고화질 사진을 찾아야 하기 때문에 시간이 오래 걸린다. 하지만 구글 이미지 검색을 통해 고화질의 손가락 사진을 검색한다면 아마도 수백, 수천 명의 지문을 어려움 없이 추출해 낼 수 있을 것이다.

시험 삼아 필자의 구글 포토 계정을 쭉 살펴보았는데 지문 정보가 유출되기 적합해 보이는 사진이 적지 않았다. 만일 이 사진들을 공개된 곳에 올렸다면, 그리고 마침 그 사진이 악의를 가진 이의 눈에 띄었다면, 얼마든지 내 지문을 재구성해 낼 수 있었을 것이다.


필자의 구글 포토 계정에서 찾아냈다. 지문 정보를 뽑아낼 만한 사진이 생각보다 흔했다.

2. 온라인 논쟁에서 ‘협박 수단’으로 이용되는 개인정보
그렇지 않아도 각종 정치적 이슈들로 날카로운 말들이 빗발치듯 오가는 요즘이다. 악에 받친 독설들이 소셜 공간을 지배하고 있다. 온라인 상에서 정치를 주제로 말싸움이 일어나는 건 어제오늘 일이 아니지만, 요즘은 특히 상대방의 개인정보를 캐내는 ‘신상 털기’가 유행이다.

전화번호나 집 주소 같은 것은 온라인으로도 비교적 어렵지 않게 찾아낼 수 있어 이를 이용해 말싸움 상대방을 괴롭히기도 매우 쉽다. 심기가 불편해진 한 사람이 마음먹고 개인 정보를 캐내어 이를 유포하면 당사자는 수백 명의 사람으로부터 살해 협박을 받기도 한다. 당사자의 주소지에 테러나 폭발 위험 요소가 있다고 신고해 경찰과 SWAT 팀이 출동하게 만드는 경우도 있다.

온라인 커뮤니티 ‘레딧(Reddit)’에서는 이 문제가 너무 통제할 수 없을 정도로 심각해지자 아예 극약 처방으로 서브레딧 r/altright과 r/alternativeright을 폐쇄하기도 했다. 답답한 일이지만, 온라인 상에서 개인 정보를 캐내기란 생각보다 훨씬 쉬운 일이다. 이를테면 다음에 설명하면 가계도 웹사이트가 개인 정보 출처 중 하나다.

3. 가계도 웹사이트를 통해 확산되는 개인정보
개인 가계도 웹사이트나 인물 검색 웹사이트는 수 년 전부터 존재해왔다. 이런 사이트들의 비즈니스 모델은 우선 약간의 정보를 공개한 후, 더 많은 정보를 원하는 이들이 유료 결제해 전체 정보를 볼 수 있게 하는 것이다. 하지만 최근 깜짝 놀랄만한 소식이 두 가지 있었다.

하나는 패밀리 트리 나우(Family Tree Now)라는 개인정보 웹사이트의 등장이다. 이 사이트는 기존 개인정보 웹사이트들이 유료로만 제공하던 정보를 완전히 다 공개해버렸다. 지난달 한 여성이 이 웹사이트에 대한 트윗을 올리면서 이와 관련된 우려의 목소리가 높아지고 있다. 단순히 이름과 그 사람이 사는 주(州)만 입력하면 그 사람의 가계 내에 있는 다른 인물들의 이름과 나이, 심지어 현재 및 과거 거주지 주소까지도 알려주기 때문이다.


2017.02.07

'셀카에서 지문추출 外'··· 5가지 최신 개인정보 위협요인

Mike Elgan | Computerworld

과장하거나 지어내 공포감을 조장하려는 이야기가 아니다. 지난 수개월 새 인터넷과 스마트폰을 통해 개인 정보를 캐낼 수 있는 새로운 방법이 5가지나 더 발견됐다.

이전에도 개인정보 보안을 위협하는 요소들이 없었던 것은 아니다. 구글이나 페이스북 같은 기업들은 오래 전부터 개인정보를 추적, 수집하고 있었고 사용자의 정보를 노리는 해커들도 여전하다. 하지만 새롭게 이름을 더한 이번 5가지 위협 요소들은 기존에는 생각지도 못했던 방식으로 개인 정보가 유출될 수 있음을 시사한다.



1. 셀카에서 지문을 추출해 낼 수 있다고?
일본 국립정보학연구소 연구팀의 최근 발표에 따르면, 손가락이 찍힌 사진만으로도 지문을 추출해 낼 수 있으며 그렇게 확보된 지문은 생체보안시스템을 뚫는데 활용될 수 있다. 오늘날의 스마트폰 카메라가 워낙 고해상도, 고화질을 자랑하기 때문에 고유의 지문을 구성하는 골과 융기를 얼마든지 복사해 지문인식 시스템을 속이는 데 활용될 수 있다는 설명이다. 이는 특히 사진을 찍을 때 손가락으로 ‘브이’나 ‘피스’ 제스처를 취하는 관습이 있는 일본에서는 큰 문제가 될 수 있다고 연구팀은 지적했다. 

물론 이를 회의적으로 바라보는 시선도 없지 않다. 우선 일본의 ‘연구팀’이 제시한 해결책부터가 미심쩍다는 지적이다. 국립정보학연구소 연구팀은 셀카를 찍을 때 특정 패턴이 프린팅된 티타늄옥사이드 필름을 손가락 위에 올려놓고 찍을 것을 해결책으로 제시하고 있다.

실용성에 의문을 품게 하는 다른 조건들도 있다. 셀카에서 지문을 추출하기 위해 요구되는 촬영 조건이 그것이다. 손가락 부위에 초점이 맞아야 하고, 조명 조건이 완벽해야 한다. 또 카메라로부터의 거리가 약 2.7미터 정도여야 하고, 무엇보다 하이엔드 스마트폰으로 찍은 사진이어야 한다. (고성능 폰들은 대부분 인물 얼굴에 초점을 맞추는 기능을 내장하고 있다.)

그러나 지문 추출은 실제로 매우 심각하고 현실적인 문제일 수 있다. 우선, 사진을 통해 지문을 추출해내는 일이 어렵지 않다. 이미 충분히 알려진 사실이다. 2년 전, 얀 크라이슬러(Jan Krissler)라는 이름의 한 독일인이 독일 국방부장관 우르줄라 폰 데어 라이엔의 사진에서 지문을 추출해 그녀의 손가락을 3D 모형으로 만든 후 그것으로 스마트폰 잠금을 해제할 수 있음을 입증한 바 있다.

둘째, 이런 일을 하는 데 필요한 추가적인 연구나 테크놀로지 같은 것도 없다. 누구나 마음만 먹으면 가능하다.

셋째로, 지문은 태어날 때 결정된 모양대로 평생 동안 유지된다. 따라서 임의로 변경이 가능한 비밀번호 유출과는 차원이 다른 문제다.

넷째로, 스마트폰 카메라 성능이 계속해서 좋아지고 있다. 머지 않아 대부분의 스마트폰에 아이폰 7이나 갤럭시 S7과 비슷한 성능의 카메라가 탑재될 것이다.

마지막으로, 해커들은 특정 인물을 노리기보다는 온라인에 업로드된 사진들을 무작위로 노리고 그것을 시작점으로 삼을 가능성이 크다. 특정 인물을 지정해 지문을 추출하려면, 그 사람의 손가락이 찍힌 고화질 사진을 찾아야 하기 때문에 시간이 오래 걸린다. 하지만 구글 이미지 검색을 통해 고화질의 손가락 사진을 검색한다면 아마도 수백, 수천 명의 지문을 어려움 없이 추출해 낼 수 있을 것이다.

시험 삼아 필자의 구글 포토 계정을 쭉 살펴보았는데 지문 정보가 유출되기 적합해 보이는 사진이 적지 않았다. 만일 이 사진들을 공개된 곳에 올렸다면, 그리고 마침 그 사진이 악의를 가진 이의 눈에 띄었다면, 얼마든지 내 지문을 재구성해 낼 수 있었을 것이다.


필자의 구글 포토 계정에서 찾아냈다. 지문 정보를 뽑아낼 만한 사진이 생각보다 흔했다.

2. 온라인 논쟁에서 ‘협박 수단’으로 이용되는 개인정보
그렇지 않아도 각종 정치적 이슈들로 날카로운 말들이 빗발치듯 오가는 요즘이다. 악에 받친 독설들이 소셜 공간을 지배하고 있다. 온라인 상에서 정치를 주제로 말싸움이 일어나는 건 어제오늘 일이 아니지만, 요즘은 특히 상대방의 개인정보를 캐내는 ‘신상 털기’가 유행이다.

전화번호나 집 주소 같은 것은 온라인으로도 비교적 어렵지 않게 찾아낼 수 있어 이를 이용해 말싸움 상대방을 괴롭히기도 매우 쉽다. 심기가 불편해진 한 사람이 마음먹고 개인 정보를 캐내어 이를 유포하면 당사자는 수백 명의 사람으로부터 살해 협박을 받기도 한다. 당사자의 주소지에 테러나 폭발 위험 요소가 있다고 신고해 경찰과 SWAT 팀이 출동하게 만드는 경우도 있다.

온라인 커뮤니티 ‘레딧(Reddit)’에서는 이 문제가 너무 통제할 수 없을 정도로 심각해지자 아예 극약 처방으로 서브레딧 r/altright과 r/alternativeright을 폐쇄하기도 했다. 답답한 일이지만, 온라인 상에서 개인 정보를 캐내기란 생각보다 훨씬 쉬운 일이다. 이를테면 다음에 설명하면 가계도 웹사이트가 개인 정보 출처 중 하나다.

3. 가계도 웹사이트를 통해 확산되는 개인정보
개인 가계도 웹사이트나 인물 검색 웹사이트는 수 년 전부터 존재해왔다. 이런 사이트들의 비즈니스 모델은 우선 약간의 정보를 공개한 후, 더 많은 정보를 원하는 이들이 유료 결제해 전체 정보를 볼 수 있게 하는 것이다. 하지만 최근 깜짝 놀랄만한 소식이 두 가지 있었다.

하나는 패밀리 트리 나우(Family Tree Now)라는 개인정보 웹사이트의 등장이다. 이 사이트는 기존 개인정보 웹사이트들이 유료로만 제공하던 정보를 완전히 다 공개해버렸다. 지난달 한 여성이 이 웹사이트에 대한 트윗을 올리면서 이와 관련된 우려의 목소리가 높아지고 있다. 단순히 이름과 그 사람이 사는 주(州)만 입력하면 그 사람의 가계 내에 있는 다른 인물들의 이름과 나이, 심지어 현재 및 과거 거주지 주소까지도 알려주기 때문이다.


X