[아이뉴스24 윤선훈 기자] 삼성전자의 '갤럭시S10'·'갤럭시노트10' 시리즈의 지문인식 보안이 실리콘 케이스 앞에 속수무책으로 무너졌다. 일부 실리콘 케이스를 전면에 끼운 채 지문인식을 시도할 경우 당초 기기에 저장된 지문이 아니더라도 화면 잠금이 해제돼 버리는 것이다.
모든 실리콘 케이스에서 일어나는 현상은 아니지만, 케이스의 종류가 워낙 많다 보니 일부 케이스만의 문제라고 하더라도 수많은 사용자들이 이 같은 사례를 공유하고 있다. 이는 화면 내장형 초음파 지문인식 방식을 사용하는 제품에서는 모두 일어날 수 있는 현상이다.
갤럭시S10을 쓰고 있는 기자 역시 적잖은 실리콘 케이스에서 지문 센서 오작동 현상이 일어난다는 사실을 직접 확인했다. 심지어 삼성페이 등 금융 서비스까지 바로 이용 가능했다. 마치 '마스터키'처럼, 케이스 하나에 모든 것이 뚫렸다.
◆휴대폰 케이스가 '만능열쇠'…TPU 케이스도 예외없어
지난 17일 서울 강남역 일대의 휴대폰 액세서리점 등을 돌며 무작위로 실리콘·TPU(열가소성폴리우레탄) 케이스 5개를 구매했다. 가격대는 최소 3천원에서 최대 1만2천900원까지이고, 5개 모두 제조업체를 달리 해 케이스 간 차별화를 두고자 했다. 삼성 정품 케이스는 제외했다.
지문인식 오류 현상은 실리콘 재질의 케이스가 주로 거론되나 실제로는 상당수 TPU 케이스에서도 같은 문제들이 나타난다. TPU는 실리콘 케이스와 마찬가지로 신축성이 뛰어나지만 실리콘보다는 다소 뻣뻣하고 좀 더 내구성이 높다는 차이가 있다. 보통 휴대폰 액세서리점에서 판매하는 투명 케이스 상당수는 TPU 소재다.
결론부터 말하면 5개 중 2개가 지문 보안을 뚫어냈다. 해당 케이스를 제품 전면에 씌운 뒤, 등록되지 않은 지문을 화면 지문인식 센서 부분에 힘을 주고 갖다 대면 사르르 잠금이 풀린다. 기자는 오른손 엄지와 검지를 기존에 등록해 놓았는데 왼손·오른손 어느 손가락으로도 잠금해제가 됐다. 심지어 발가락, 팔뚝, 손가락 관절을 대도 거짓말처럼 지문인식이 됐다. 다른 2명에게도 시험해 봤는데 예외 없이 보안이 풀렸다.
지문인식이 된 케이스는 각각 M사에서 만든 5천900원 제품과 P사에서 만든 8천900원 제품이다. 이날 구입한 제품 중 2번째, 3번째로 저렴한 제품에 해당된다. 의외로 가장 싼 제품은 이 수법이 통하지 않았다. 1만원 이상의 두 제품도 마찬가지였다. 다만 취재 결과 1만원이 넘는 상당수 TPU 케이스에서도 이 같은 현상이 나타났다. 즉 가격과 안전성은 비례하지 않는다는 얘기다.
나머지 3개는 제품 전면에 케이스를 씌우면 어느 손가락으로도 지문인식이 되지 않는다. TPU 케이스 안쪽에는 액정에 얼룩덜룩한 무늬가 생기는 것을 막기 위해 미세한 도트들이 수없이 찍혔는데, 일부 패턴을 사용자의 지문으로 인식하는 듯 보였다.
다만 일단 인식이 되는 케이스로 지문 보안 해제를 시도할 시 여지없이 풀린다는 점은 심각하다. 화면 잠금해제뿐만 아니라 삼성페이, 인터넷뱅킹 등 지문등록을 해 놓은 애플리케이션에서 시도했을 때도 여지없었다. 이 같은 제품을 사용자가 고를 가능성이 결코 낮지 않다는 점은 더욱 큰 문제다. 다른 사람의 갤럭시S10·갤럭시노트10을 가지고 있던 케이스만으로 살피고, 결제까지 할 수 있다는 얘기이기 때문이다.
일각에서는 휴대폰 전면 케이스를 씌운 채 지문인식을 시도하지 않았을 경우 제3자에 의한 지문인식 해제 위험은 없다는 주장도 나온다. 다만 일부 인터넷 커뮤니티에서는 전면에 케이스를 씌우지 않고 지문등록을 처음부터 한 후, 바로 케이스를 씌운 채 등록하지 않은 손가락을 대자 잠금해제가 바로 풀리는 현상도 보고되고 있다.
문제가 발생하는 제품들은 모두 초음파 디스플레이 지문인식 방식으로 화면 내에 지문인식 센서를 탑재했다는 공통점이 있다. 해당 기술은 퀄컴과 삼성전자가 공동개발한 기술로, 삼성전자는 제품 출시 당시 해당 방식을 차별화된 기술 중 하나로 적극 내세운 바 있다. 역설적이게도 이것이 부메랑이 돼 돌아온 셈이다.
◆수개월 전부터 문제 거론됐는데…외신 보도 뒤에야 대응
소비자들은 매우 심각한 문제라는 반응이다. 일각에서는 삼성전자가 제대로 조치를 취하지 않을 경우 갤럭시노트7 당시의 '배터리 발화 사건'과 버금가는 사태가 벌어질 수 있다는 우려가 나온다. 자칫 생체 보안인증의 벽이 완전히 허물어질 수 있기 때문이다. 여기에 지난 17일 카카오뱅크도 공지사항을 통해 "일부 휴대폰 기기에서 지문인식 센서 오작동 문제가 기사로 공유돼 주의를 부탁드린다"며 "해당 기기를 사용 중인 경우 문제가 해결될 때까지 지문 인증을 끄고 패턴과 인증 비밀번호를 이용해 달라"고 당부했다.
그러나 삼성전자는 삼성멤버스 등 공식 커뮤니티에서 이전부터 문제가 제기됐음에도 그간 별다른 조치를 취하지 않아 왔다. 삼성멤버스에서는 이미 지난 4월에도 갤럭시S10플러스에 TPU 커버를 씌운 한 사용자가 등록된 지문 이외의 부위를 대도 지문인증이 된다는 게시글이 올라왔다. 지난달에도 비슷한 문제제기를 한 사용자가 삼성전자 측에 문의했지만 삼성 측은 눈에 띄는 움직임을 보이지는 않았다.
그러던 중 지난 13일 영국 '더 선'이 약 3달러짜리 풀커버 실리콘 케이스를 이용하던 한 사용자가 다른 사람에 의해 지문 보안이 뚫린 사례가 발생했다고 보도했다. 이후 전세계 소비자들이 본격적으로 동일 사례를 인증하기 시작했다. 침묵하던 삼성은 그제야 내부 조사에 착수했다며 "조만간 소프트웨어 패치를 내놓겠다"고 공식 입장을 밝혔다. 이 때문에 소비자들은 삼성전자의 늦은 대응에 불만이 큰 상황이다.
삼성전자는 삼성멤버스에 17일 올린 공지사항에서 제품 사용에 불편을 끼쳐 죄송하다며 "소프트웨어 패치를 조만간 발행할 계획이며, 일부 실리콘 케이스를 사용하는 경우 실리콘 케이스의 패턴이 지문과 함께 인식되면서 발생할 수 있는 현상"이라고 밝혔다. 또 "소프트웨어 수정을 통해 개선 예정이니 항상 최신 버전을 유지해 달라"고 덧붙였다.
일각에서는 삼성전자가 올해 초 지문인식률을 높이기 위한 소프트웨어 업데이트를 진행하면서 이 같은 현상이 나타났다는 지적도 나온다. 출시 초 갤럭시S10 시리즈의 지문인식률이 낮다는 지적이 나오자 삼성전자는 이를 보완하는 패치를 배포한 바 있다.
삼성전자 관계자는 이날 통화에서 "실리콘 케이스의 패턴을 지문으로 인식하는 문제로 파악하고 소프트웨어 차원의 보완 작업을 진행 중"이라며 "당장 이번 주말이 되지는 않겠지만, 조만간 패치 배포를 할 예정이라고 공지했으니 그리 오래 걸리지는 않을 것"이라고 말했다.
윤선훈 기자 krel@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기