2013.09.11

아이폰 5S 지문 센서를 보는 시각 "유용하나 특효약 아니다"

Brian Cheon | CIO KR
애플 아이폰 5S에 내장된 지문 센서가 보안 성능을 향상시킬 잠재력을 가졌지만 그 자체만으로 충분하지는 않다는 지적이다. 보안 전문가들은 지문 센서 효용성이 다른 보안 기능과의 결합 가능 여부와 완성도에 달렸다고 입을 모았다.

애플은 10일 신형 아이폰 2종을 공개했다. 아이폰 5S와 아이폰 5C다. 5S는 고급형 모델에 해당하는 제품으로, 터치 ID 라는 이름의 지문 센서가 홈 버튼에 통합돼 있다. 설명에 따르면 기기 잠금을 해제하거나 아이튠즈에서 구매할 때 비밀번호를 대체할 수 있다.

현재 이 기능이 다른 시나리오에서 어떻게 사용될지 명확치 않다. 즉 써드파티 애플리케이션이 사용자 인증에 이 기능을 이용할 수 있을지 여부는 미지수다.

10일 제품 발표 현장에서 애플은 지문 데이터가 신형 A7 칩 내에 암호화돼 저장된다고 설명했다. 이는 소프트웨어에서 이 정보를 직접 접근할 수 없으며 애플 아이클라우드 등에 저장되지 않는다는 의미다.

애플에 따르면 터치 ID 기술은 표피 하부의 층을 500ppi 해상도로 스캔하며, 각도에 상관없이 지문을 인식해낼 수 있다. 그러나 공격에 얼마나 잘 방어할지는 앞으로 확인해야 할 사항이다.

사실 그간 지문 인식 기술은 그리 믿을 만한 보안 솔루션이 아니었다. 다양한 기법을 통해 지문 스캐너를 무력화시킬 수 있었다. 오류도 빈번했다.

보안기업 래피드7의 모바일 위험 관리 기술 엔지니어링 디렉터 더크 시거드슨은 "지문 인식기를 공격하는 기법들이 몇몇 있다. 지문 사진을 이용하기도 하고 캡처해 지문 모형을 제작하기도 한다. 이러한 복사 지문을 이용하는 공격을 아이폰 센서가 제대로 방어할 수 있기를 기대한다"라고 이메일 인터뷰를 통해 전했다.

모바일 보안기업 룩아웃의 연구 수석 마크 로저스는 지문 기술이 고급 보안 기술은 아니라며, 군사 시설에서 장문 인식(hand geometry)이나 홍채 스캔 기술을 주로 이용하는 이유라고 전했다.

그는 "지문 복사는 가능한 작업이다. 아울러 지문 기술이 널리 활용되면 이에 대한 공격 기법 또한 발전할 여지가 있다"라고 말했다. 그는 그러나 4자릿수 PIN보다는 지문 기술이 우수하고 편리하다고 덧붙였다.

최고의 단일 요소 인증 기법은 사용자 두뇌에만 저장된 강력한 암호를 이용하는 것이다. 그러나 강력한 암호를 생성해 기억하기란 현실적으로 쉽지 않다. 나쁜 암호들이 여전히 널리 이용되는 이유다. 시거드슨은 따라서 양호한 지문 인식기와 매칭 알고리즘은 iOS 기기의 보안을 증진시킬 수 있다고 평가했다.

로저스도 4자릿수 PIN을 일일이 입력해가며 사용하는 이들이 많지 않다면서 따라서 지문 기술은 현실적으로 보안 성능을 향상시킬 것으로 기대한다고 진단했다. 애플은 절반 정도의 사용자들이 PIN을 설정하지 않거나 복잡한 암호를 이요하지 않고 있다고 제품 발표회에서 전했다.

지문 인식기가 다른 보안 요소와 결합돼 2요소 인증으로 강화된다면 보안 성능이 크게 개선될 여지가 있다는 주장도 있었다. 로저스는 예를 들어 애플이 파일 시스템을 암호화하는 강력하고 복잡한 암호를 부팅 시에만 입력하도록 한다면, 지문 인식기가 기기를 보호하는데 나름의 역할을 할 수도 있다고 전했다.

또 다른 애플리케이션이 지문 센서를 이용할 수 있다면 애플리케이션 보안에도 일조할 것이라며, 특히 뱅킹 등의 애플리케이션에 유용할 것이라고 그는 덧붙였다.

보안 벤터 트러스트웨어이의 스파이러랩스 보안 연구팀 디렉터 크리스토퍼 포그는 이번 지문 센서가 등장함에 따라 iOS 기기의 보안이 전반적으로 개선될 여지가 있지만 관건은 소비자들이 실제로 이용할지, 완성도는 얼마나 높을지라고 분석했다. 그는 "소비자들이 이용법을 손쉽게 이해할 수 있을지가 핵심이다"라고 말했다.

이어 지문 센서 2요소 인증의 일환으로 이용될 때 큰 가치를 지닐 것이는 의견에 그 역시 동의했다.

그러나 로저스와 포그는 지문 센서가 기업 환경에서 활용되는 시나리오에 대해서는 다소 의견을 달리했다.

로저스는 이 기능이 써드파트 개발자들도 이용할 수 있도록 허용된다면 기업이 이를 이용해 내부 모바일 애플리케이션을 보호하거나 위험을 경감시킬 수 있을 것으로 전망했다.

반면 포그는 지문 센서가 보안 성능에 기여하는 바가 그리 크지 않다면서 기업들이 이를 널리 활용할지에 대해 의구심을 표했다. ciokr@idg.co.kr



2013.09.11

아이폰 5S 지문 센서를 보는 시각 "유용하나 특효약 아니다"

Brian Cheon | CIO KR
애플 아이폰 5S에 내장된 지문 센서가 보안 성능을 향상시킬 잠재력을 가졌지만 그 자체만으로 충분하지는 않다는 지적이다. 보안 전문가들은 지문 센서 효용성이 다른 보안 기능과의 결합 가능 여부와 완성도에 달렸다고 입을 모았다.

애플은 10일 신형 아이폰 2종을 공개했다. 아이폰 5S와 아이폰 5C다. 5S는 고급형 모델에 해당하는 제품으로, 터치 ID 라는 이름의 지문 센서가 홈 버튼에 통합돼 있다. 설명에 따르면 기기 잠금을 해제하거나 아이튠즈에서 구매할 때 비밀번호를 대체할 수 있다.

현재 이 기능이 다른 시나리오에서 어떻게 사용될지 명확치 않다. 즉 써드파티 애플리케이션이 사용자 인증에 이 기능을 이용할 수 있을지 여부는 미지수다.

10일 제품 발표 현장에서 애플은 지문 데이터가 신형 A7 칩 내에 암호화돼 저장된다고 설명했다. 이는 소프트웨어에서 이 정보를 직접 접근할 수 없으며 애플 아이클라우드 등에 저장되지 않는다는 의미다.

애플에 따르면 터치 ID 기술은 표피 하부의 층을 500ppi 해상도로 스캔하며, 각도에 상관없이 지문을 인식해낼 수 있다. 그러나 공격에 얼마나 잘 방어할지는 앞으로 확인해야 할 사항이다.

사실 그간 지문 인식 기술은 그리 믿을 만한 보안 솔루션이 아니었다. 다양한 기법을 통해 지문 스캐너를 무력화시킬 수 있었다. 오류도 빈번했다.

보안기업 래피드7의 모바일 위험 관리 기술 엔지니어링 디렉터 더크 시거드슨은 "지문 인식기를 공격하는 기법들이 몇몇 있다. 지문 사진을 이용하기도 하고 캡처해 지문 모형을 제작하기도 한다. 이러한 복사 지문을 이용하는 공격을 아이폰 센서가 제대로 방어할 수 있기를 기대한다"라고 이메일 인터뷰를 통해 전했다.

모바일 보안기업 룩아웃의 연구 수석 마크 로저스는 지문 기술이 고급 보안 기술은 아니라며, 군사 시설에서 장문 인식(hand geometry)이나 홍채 스캔 기술을 주로 이용하는 이유라고 전했다.

그는 "지문 복사는 가능한 작업이다. 아울러 지문 기술이 널리 활용되면 이에 대한 공격 기법 또한 발전할 여지가 있다"라고 말했다. 그는 그러나 4자릿수 PIN보다는 지문 기술이 우수하고 편리하다고 덧붙였다.

최고의 단일 요소 인증 기법은 사용자 두뇌에만 저장된 강력한 암호를 이용하는 것이다. 그러나 강력한 암호를 생성해 기억하기란 현실적으로 쉽지 않다. 나쁜 암호들이 여전히 널리 이용되는 이유다. 시거드슨은 따라서 양호한 지문 인식기와 매칭 알고리즘은 iOS 기기의 보안을 증진시킬 수 있다고 평가했다.

로저스도 4자릿수 PIN을 일일이 입력해가며 사용하는 이들이 많지 않다면서 따라서 지문 기술은 현실적으로 보안 성능을 향상시킬 것으로 기대한다고 진단했다. 애플은 절반 정도의 사용자들이 PIN을 설정하지 않거나 복잡한 암호를 이요하지 않고 있다고 제품 발표회에서 전했다.

지문 인식기가 다른 보안 요소와 결합돼 2요소 인증으로 강화된다면 보안 성능이 크게 개선될 여지가 있다는 주장도 있었다. 로저스는 예를 들어 애플이 파일 시스템을 암호화하는 강력하고 복잡한 암호를 부팅 시에만 입력하도록 한다면, 지문 인식기가 기기를 보호하는데 나름의 역할을 할 수도 있다고 전했다.

또 다른 애플리케이션이 지문 센서를 이용할 수 있다면 애플리케이션 보안에도 일조할 것이라며, 특히 뱅킹 등의 애플리케이션에 유용할 것이라고 그는 덧붙였다.

보안 벤터 트러스트웨어이의 스파이러랩스 보안 연구팀 디렉터 크리스토퍼 포그는 이번 지문 센서가 등장함에 따라 iOS 기기의 보안이 전반적으로 개선될 여지가 있지만 관건은 소비자들이 실제로 이용할지, 완성도는 얼마나 높을지라고 분석했다. 그는 "소비자들이 이용법을 손쉽게 이해할 수 있을지가 핵심이다"라고 말했다.

이어 지문 센서 2요소 인증의 일환으로 이용될 때 큰 가치를 지닐 것이는 의견에 그 역시 동의했다.

그러나 로저스와 포그는 지문 센서가 기업 환경에서 활용되는 시나리오에 대해서는 다소 의견을 달리했다.

로저스는 이 기능이 써드파트 개발자들도 이용할 수 있도록 허용된다면 기업이 이를 이용해 내부 모바일 애플리케이션을 보호하거나 위험을 경감시킬 수 있을 것으로 전망했다.

반면 포그는 지문 센서가 보안 성능에 기여하는 바가 그리 크지 않다면서 기업들이 이를 널리 활용할지에 대해 의구심을 표했다. ciokr@idg.co.kr

X