평판이 높았던 iPhone X가 지난 11월 3일 판매되었다. 그 특징으로 알려져 있는 것이 얼굴 인증 시스템 인 "Face ID"이다. 이것은 사용자의 얼굴 윤곽이나 요철을 적외선으로 읽어들여, 본인 여부를 판단하는 것이다.
2017년 11월 3일에 발매된 후, 전세계 해커들의 도전 정신에 불을 붙였다. 그리고 발매로부터 불과 1주일 후, 베트남의 보안 기업 "Bkav"의 기술자가 얼굴 인증 시스템 "Face ID"를 돌파하는데 성공했다고.
그 방법은 사람의 얼굴을 복제 한 마스크를 사용했다고 하고, 전문가들이 예상했던 것보다 훨씬 간단한 것이었다고 말하고 있다.
공개 된 Youtube 영상에서는, 사용자의 얼굴을 재현 한 간단한 마스크로 Face ID를 속이는 모습이 소개되고 있다. 직원 1명이 마스크를 덮은 보자기를 치웠더니, iPhone X의 잠금은 바로 해제되어 버린다.
- 3D 프린트 한 심플한 마스크로 돌파 가능
iPhone X에 탑재 된 고급 3D 적외선 얼굴 매핑 기능과 AI에 의한 모델링 기능은 매우 간단한 마스크에 속아 버렸다는 것이다.
마스크는 플라스틱으로 3D 프린트 한 것으로, 실리콘 코와 종이에 인쇄 된 이차원의 눈과 입술을 설치 한 것에 지나지 않는다는 것이다.
- 얼굴 인증은 강력한 보안이 아니었다?
지금까지 전문가에 의한 공식적인 확인은 되어있지 않지만, 비싼 iPhone X가 약 15만원 정도로 만든 마스크로 돌파되어 버린다는 것은 너무 슬픈 일이다.
Bkav 사는 이번 실험 결과에 대해 "애플이 기능에 문제가 있다"고 말했다. "마스크에 속는 Face ID는 강력한 보안이 아니다"라고...
그러나 실제로 마스크를 만들려면, iPhone 소유자의 얼굴을 제대로 정확하게 측정하거나 디지털 스킨을 해야한다.
Bkav 사의 직원의 경우 휴대용 스캐너로 5분 정도 걸어 측정한다. 약간의 장난 감각으로는 할 수없는 것으로, 다른 사람의 얼굴을 복제하는 수고와 시간을 감안하면, 현재는 일반적인 소유자가 지나치게 걱정할 필요도 없을 것이다.
- 정부 요인과 억만장자, 첩보 기관은 주의가 필요
"표적이 될 위험이 있는 것은 일반 사용자가 아닌 억만장자 및 대기업 임원, 국가 원수 등이며, FBI등 정보 기관이 얼굴 인증 문제를 이해해 둘 필요가 있다"고 말하는 Bkav 사.
그들에 의하면, 향후 스마트폰의 스캔 기능에 이것을 살짝 응용해보거나, 사진에서 마스크 모델을 작성하는 등 상황도 생각할 수 있다고 한다.
이러한 정확안 얼굴의 스캔을 얻기 어려움을 제외하고도 이 간단한 방법은 더 많은 돈을 건 해킹 방법보다 훨씬 효과적인 방법이다.
이번 실험은, 3D 프린트 한 것으로 일부 저렴한 소재를 장착 한 것이다. 놀랍게도 눈은 평면 인쇄에 지나지 않는다. 마스크의 제작 관정에 대한 자세한 것은 밝혀지지 않고, 따라서 그 진위를 의심하는 의견도 있다.
하지만 Bkav 사에 따르면, 이것은 Face ID 센서가 얼굴의 특징의 일부 밖에 확인하지 않기 때문에 가능한 것이라고 한다.
- 만약 검증 결과가 사실이라면, 눈의 움직임을 고려되지 않는다?
만일 Bkav 사의 얼굴 인증이 정말로 돌파 한 것이라면, 애플 관련 특허는 눈의 움직임을 고려하지 않는다는 것이다.
이 경우 Face ID는 간단한 마스크뿐만 아니라 소유자의 수면 중이나 의식을 잃은 상태 또는 구속중이거나 시체의 얼굴 조차도 돌파 할 수있다는 취약점이 남아 있다는 것이다.
특히 마지막의 경우는 Face ID 특유의 문제가 될지도 모른다. Touch ID의 경우 생체의 전도율이 확인되지만, Face ID는 소유자의 생사가 묻지 안흔ㄴ 것이다.
