안드로이드폰 지문정보 훔치는 공격법 공개

(지디넷코리아=황치규 기자)해커들이 지문 인식 센서를 탑재한 안드로이드폰에서 사용자 지문을 탈취할 수 있는 방법이 소개돼 눈길을 끈다.

6일(현지시간) 지디넷에 따르면 미국 라스베이거스에서 열리고 있는 블랙햇 해킹 컨퍼런스에서 보안 업체 파이어아이 연구원 2명은 안드로이드 기글 공격해, 사용자 지문을 빼내는 방법 4가지를 소개했다.

파이어아이 연구원들이 소개한 공격 방법은 지문인식 센서를 탑재한 안드로이드 기기에만 해당된다. 이번에 소개된 4가지 공격 중 '지문센서 스파이 공격'(fingerprint sensor spying attack)으로 불리는 것은 공격자가 원격에서 지문을 대규모로 탈취할 수 있게 해준다고 지디넷은 전했다.

스마트폰을 탈옥해서 쓰는 경우 이같은 공격에 더욱 위험할 수 있다. 공격이 일단 발생하면 지문 센서는 해당 센서를 쓰는 사용자 모두의 지문 데이터를 계속해서 몰래 수집한다. 공격자는 피해자가 살아 있는 동안 확보한 지문 데이터를 다른 악의적인 목적으로 사용할 수도 있다.

모바일 결제 등 지문이 인증수단으로 사용되는 분야는 점점 확대되는 추세다. 그런만큼, 큰 문제가 될 수 있다. 파이어아이 연구원들은 삼성전자 갤럭시S5와 HTC 원맥스 안드로이드폰을 갖고 시연했다. 두 회사는 이들의 경고 후 해당 제품에 보안 패치를 적용했다. 연구원들은 안드로이드폰들중 어느 회사 제품이 보다 안전한지에 대해서는 언급하지 않았다. 그러나 지문 데이터를 암호화하는 애플 아이폰에 대해서는 꽤 안전하다고 평가했다.

안드로이드 기기 사용자의 지문 탈취 공격은 모바일 기기에만 해당되는 사안이 아니다. 지문센서를 탑재한 고성능 노트북도 공격 대상이 될 수 있다. 파이어아이 연구원들은 사용자들은 정기적으로 업데이트되는 안드로이드 기기를 사용하고, 신뢰할만한 곳에서만 앱을 설치하는 것이 좋다고 권고했다.

→ 한 뼘 더 깊은 IT 보고서‘리소스 라이브러리’에서 만나보세요!

황치규 기자(delight@zdnet.co.kr)

▶ IT 세상을 바꾸는 힘 <지디넷코리아>
▶ IT뉴스는<지디넷코리아>, 글로벌 IT뉴스는<씨넷코리아>, 게임트렌드는<뉴스앤게임>
▶ 스마트폰으로 읽는 실시간 IT뉴스<모바일지디넷>
[저작권자ⓒ메가뉴스 & ZDNet & CNET. 무단전재 및 재배포 금지]