아이폰5s, 지문인식 해킹 경연이 반가운 이유

 아이폰5s의 지문인식 기능인 '터치ID'가 호평을 받고 있습니다. 간편한 등록, 360도 인식, 빠른 인식 속도와 우수한 보안 수준 덕분입니다. 터치ID의 지문 정보는 A7 프로세서에 직접 저장되며, 애플 서버나 아이클라우드에 전송하지 않고, 서드 파티 앱도 접근할 수 없습니다. 그리고 이를 한번 더 막아내기 위한 암호화와 지문 형판을 저장하지 않고 알고리즘만 남겨두기도 했습니다.

---

아이폰5s, 지문인식 해킹 경연이 반가운 이유

 터치ID의 지문 정보를 취득하기 위해선 먼저 해당 아이폰5s를 훔쳐야 합니다. 그리고 A7 프로세서에 접근해야하고, 암호화를 푼 다음 지문 알고리즘을 해독해야 합니다. 상당히 까다로운 작업으로 사실 지문을 얻고 싶다면 공항이나 병원 기록을 해킹하는 쪽이 더 빠를 것입니다. 그렇다고 해서 터치ID의 안전성이 100% 보장되진 않습니다. 상대적인 거죠.

---

해킹 경연

 아이폰5s의 터치ID를 해킹하는 해커에게 상금과 상품을 주는 경연이 열렸다고 로이터는 보도했습니다. 이 경연은 @nickdepetrillo, @erratarob의 두 트위터 사용자가 시작하여 기부자들이 몰리면서 소셜 크라우드 소싱 펀드로 번졌습니다. 그러나 대부분 금액이 100달러 수준이었는데, 많은 금액이 모이지 않자 IO캐피털의 공동 창업자인 아투라스 로젠바허가 1만 달러를 제공하면서 1만 5천 달러 정도의 상금이 모였습니다. 거기에 비트코인으로 적립된 금액도 추가됩니다.

 생각보다 많은 금액은 아니지만, 화이트 해커들이 자발적으로 경연을 열어 터치ID의 해킹이 뛰어들었다는 것은 상당히 흥미롭습니다.

 로젠바허는 '애플이 놓친 취약점을 찾아낼 기회가 될 것'이라고 밝혔는데, 터치ID가 화제가 된 만큼 덩달아 이번 해킹 경연도 주목받고 있습니다.

---

지문인식 해킹

 터치ID 해킹의 쟁점은 크게 두 가지로 나눌 수 있습니다. 따로 특정한 목표가 있는 것이 아니라 터치ID의 취약점을 드러내기만 하면 되는데, 첫 번째는 지문 정보에 접근할 수 있느냐입니다. 아마 지문인식 보안에 주목한 사람이라면 당연하게 지문 정보를 빼낼 수 있을지에 관심을 둘 텐데 지문 정보를 빼내서 형판 해독까지 한다면 애플은 터치ID를 새로 설계해야 할 것입니다. 두 번째가 지문 정보에 접근하지 않고 지문인식 기능을 작동하여 해당 아이폰의 잠금을 푸는 겁니다. 터치ID가 작동하지만, 이를 무력화하고 아이폰의 잠금 시스템에 접근할 수 있는 방법 말입니다.

 그런데 이것이 경연이라는 점을 잊어선 안 됩니다. 상금은 가장 먼저 해킹 취약점을 발견한 사람에게 돌아갈 테니까요. 지문 정보에 접근하려면 단순한 방법이 아니라 아이폰5s를 분해하는 등의 행동을 취해야 할 수 있습니다. 일단 프로세서에 저장된 정보를 꺼내야 하니 통상적인 방법으로 접근 자체가 쉽지 않고, 그 과정에서 구매한 아이폰5s가 상금보다 많을 것입니다. 그렇다면 해커들이 경연에서 상금을 쟁취하기 위해선 지문 정보를 빼내는 것보다 지문인식 기능을 무력화하여 잠금을 뚫는 쪽을 생각해야 합니다.

 재미있게도 터치ID에 대한 의견을 보면 터치ID를 통한 아이폰의 보안 수준보다 터치ID의 지문 정보에 대한 보안 수준을 더 앞서 생각한다는 것입니다. 필자도 '애플, 터치 ID로 해낸 것'이란 글로 '터치ID가 생체 인식 정보의 보안에 관심을 기울도록 했다'고 말했습니다만, 사실 그보다 아이폰이 잘 보호되느냐, 그렇지 않으냐가 더 중요합니다. 대신 그동안은 생체 인식 정보의 보안에는 대중들이 별로 신경을 쓰지 않았으므로 터치ID가 해냈다고 한 것이었죠.

 이번 지문인식 해킹 경연이 반가운 이유가 그것입니다. 결과적으로 아이폰이 얼마나 잘 보호되느냐가 중심이 되어야 합니다. 일단 경연이란 점을 생각하면 지문인식을 넘어 아이폰에 접근하는 방법을 찾을 것이고, A7 프로세서의 지문 정보에 접근하는 것보다 더 수월하고 결과도 빨리 나올 것입니다. 그렇게 아이폰의 잠금장치가 해킹된다면 애플이 이를 보완해야 함은 물론이고, 사용자들도 지문인식의 보안을 의심하는 것이 아니라 뚫릴 수도 있다는 점을 인지하게 될 것입니다. 그런 경각심을 두고 아이폰의 정보 관리에 대중이 관심을 돌리게 할만한 것이 이번 경연입니다.

---

터치ID

 가장 핵심은 지문인식 기능이 지금껏 대중들에 이 정도의 관심을 받았던 적이 없다는 것입니다. 신기하게 생각하는 사람들은 많았지만, 이렇게 구체적으로 관심을 받진 않았었습니다. 그러나 터치ID는 출시 전부터 사용법이며, 성능이며, 보안까지 온갖 정보와 자료를 쏟아냈고, 이를 주제로 한 경연까지 열렸습니다.

 터치ID는 작은 홈버튼 속에 숨어있지만, 그 속의 내용만은 우리를 생체 인식의 대중화로 이끌어가고 있습니다. 그것은 중요한 변화이며, 앞으로 생체 정보 인식 기능을 내세운 스마트폰이 더 등장함과 함께 보안에 대한 엄격한 잣대가 적용될 것을 예견합니다. 이제는 소비자가 먼저 따지게 되겠죠. 그리고 그 잣대가 기술 발전을 한 걸음 나아가게 할 것으로 생각합니다.

 이번 경연에서 어떤 결과가 나타나게 될지 매우 기대됩니다.