휴대폰의 지문 잠금을 3D 프린팅된 지문으로 우회할 수 있음

Cisco Talos 사이버 보안 그룹의 연구자들은 3D 프린팅 기술과 섬유 접착제를 사용하여 가짜 지문을 만들어 휴대폰, 노트북 및 기타 장치의 지문 인증 시스템을 속이고 우회할 수 있었던 방법을 시연했습니다.

연구자들인 Paul Rascagneres와 Vitor Ventura에 따르면, 인쇄된 가짜 지문은 다양한 장치에서 테스트되었으며 평균적으로 약 80%의 성공률을 달성할 수 있었습니다.

지문 센서는 크게 세 가지 유형이 있습니다: 정전식, 광학식 및 초음파식. 이 센서들은 각각 사용된 재료와 몰드 수집 방법에 따라 약간 다르게 작동합니다.

가장 일반적인 유형은 정전식으로, 신체의 자연 전류를 사용하여 지문을 읽습니다. 반면, 광학식 센서는 빛을 사용하여 손가락의 이미지를 스캔하고 생성합니다. 초음파식 센서는 최신 유형으로, 화면 센서에 자주 사용되며, 초음파 파동이 물리적 물체, 즉 손가락에 반사되어 에코를 지문 센서가 읽습니다. 이로 인해 초음파 센서는 가장 쉽게 우회할 수 있습니다.

“우리의 테스트 결과는 평균적으로 가짜 지문을 사용할 때 약 80%의 성공률을 달성했으며, 센서가 최소한 한 번은 우회되었습니다. 이러한 성공률에 도달하는 것은 어렵고 지루한 작업이었습니다. 우리는 스케일링 및 재료 물리적 특성과 관련된 여러 장애물과 한계를 발견했습니다.”라고 Talos의 Vitor Ventura와 Paul Rascagneres는 연구 분석에서 설명했습니다.

“그럼에도 불구하고, 이 수준의 성공률은 우리가 테스트한 장치 중 어떤 것이든 잠금을 해제할 확률이 매우 높다는 것을 의미합니다. 결과는 지문이 평균 사용자의 개인 정보를 보호하기에 충분하다는 것을 보여줍니다. 그러나 잘 자금 지원되고 동기가 부여된 공격자의 표적이 될 가능성이 있는 사람은 지문 인증을 사용하지 말아야 합니다.”

연구자들은 3D 프린터를 사용하여 몰드를 만들고 UV 챔버에서 경화시켰습니다. 그들은 몰드를 사용하여 가짜 지문을 만들고 실리콘 및 섬유 접착제를 포함한 재료에 주조했습니다.

“우리의 테스트 중에 사용된 재료가 센서의 종류에 따라 결정적인 요소라는 것이 분명해졌습니다. 특히 초음파식과 정전식 센서를 비교할 때 더욱 그렇습니다. 성공률을 높이기 위해 우리는 실리콘과 다양한 종류의 접착제를 사용했으며, 전도성(흑연 및 알루미늄) 분말과 혼합했습니다.”라고 그들은 말했습니다.

연구자들은 테스트 과정에 2,000달러의 예산과 13개의 스마트폰, 노트북 및 기타 장치를 보유하고 있었습니다. 테스트 과정을 시작하기 위해 연구자들은 악명 높은 갱스터 Al Capone의 공개된 지문을 예로 사용했습니다. 모바일 장치는 대부분의 사람들이 장치에서 지문 센서를 일반적으로 사용하기 때문에 최고의 표적임이 입증되었습니다.

“이 장치들은 또한 지문 인증에 대한 최초 연구의 표적이었으며, 이는 이 플랫폼이 기술적으로 더 성숙해질 수 있도록 해야 합니다. 그러나 결과는 모바일 전화의 지문 인증이 2013년에 처음으로 뚫렸을 때와 비교하여 약화되었음을 보여줍니다.”라고 그들은 말했습니다.

가짜 지문은 연구자들에 의해 iPhone 8, Samsung S10, Huawei P30 Lite, MacBook Pro 2018, iPad 5세대, Samsung Note 9, Honor 7X 및 AICase Padlock에서 성공적으로 테스트되었습니다. 그러나 그들은 Samsung A70 전화, Lexar Jumpdrive Fingerprint F35 또는 Verbatim Fingerprint Secure USB 암호화 펜 드라이브에 접근할 수 없었습니다.

연구자들은 지문 인증이 우회하는 과정이 매우 복잡하고 시간 소모적이며 일반인이 수행하기에는 비용이 많이 드는 것을 고려할 때 대다수 인구에게 적합하다고 결론지었습니다.

“지문 인증의 일반 사용자에게는 장점이 분명하며 사용해야 합니다. 그러나 사용자가 더 고위험 프로필이거나 장치에 민감한 정보가 포함되어 있다면 강력한 비밀번호와 토큰 이중 인증에 더 의존할 것을 권장합니다.”라고 그들은 썼습니다.