'정보' 노리는 범죄 늘어 보안 강화 나서는 IT업계

암호 대신 '홍채' 인식…손가락 올려 잠금 해제

삼성전자 홍채인식+녹스

애플 터치 아이디+샌드박스

지난 4~7일(현지시간) 미국에서 열린 해킹 콘퍼런스 '데프콘'에서는 가정의 냉난방 장치를 관리하는 사물인터넷(IoT) 온도조절기를 해킹해 실내온도를 극한으로 고정한 뒤 돈을 요구하는 신종 랜섬웨어(인질극 악성 코드)가 소개됐다. 실험에서 랜섬웨어가 포함된 SD 메모리 카드를 기기에 삽입하자 랜섬웨어는 즉시 기기를 마음대로 조작했다. 랜섬웨어 제작자인 영국 보안회사 '테스트 파트너스'의 직원 앤드로 티어니와 켄 먼로는 "해당 온도조절기가 SD카드에 포함된 파일을 거의 확인하지 않고 무작정 실행한다는 것을 알고 IoT 기기의 보안이 취약하다는 사실을 알리고자 악성 코드를 만들었다"고 밝혔다.

정보통신기술(ICT)이 발달하면서 컴퓨터와 스마트폰, IoT 장비를 통해 개인정보와 금융정보를 비롯한 수많은 정보가 오가고 있다. 이에 세계 각지에서는 누군가의 스마트폰을 훔치거나 여기에 악성 프로그램을 몰래 설치해 스마트폰 주인의 개인정보와 금융정보, 은밀한 사생활까지 탈취하는 범죄가 빈발하고 있다.

이런 문제점을 인식한 세계 IT 제조사 및 운영체제(OS) 개발사들은 전자기기의 개인 인증 기능을 강화하고 인증 정보를 암호화해 보관하는 등 다양한 방식으로 정보 보안 강화에 나서고 있다. 가장 보급화한 스마트 기기용 보안 체계를 소개한다.

◇암호 대신 '홍채' 인식, 정교해 복제는 어려워

◆삼성전자 홍채인식+녹스, "인증 수준 극도로 높이고 외부 공격 상시 감시"

지난달 2일 삼성전자는 신제품 갤럭시 노트 7에 홍채인식 인증 시스템을 도입했다고 밝혔다. 홍채는 지문에 비해 훨씬 복잡하고 정교하며 복제가 어려운 것으로 알려졌다. 복제를 하더라도 생체의 눈이 아니면 인식하기가 어려운 탓에 외부인이 이를 이용해 정보를 탈취하기란 사실상 불가능하다.

삼성전자는 이런 홍채인식 기능을 '삼성패스'와 '보안폴더'의 인증 수단으로 활용한다고 밝혔다.

삼성패스를 이용하면 각종 웹사이트에 로그인할 때나 모바일 뱅킹 서비스의 공인인증서 암호 입력 절차를 홍채인식으로 대체할 수 있게 된다. 삼성전자는 앞으로 국내 카드사, 증권사 등과 협력해 더욱 다양한 금융 서비스에 삼성패스를 확대 적용할 방침이다.

또 보안폴더는 디바이스가 잠금 상태가 아닐 때도 그 안에 저장한 개인정보와 애플리케이션(이하 앱), 문서, 사진 등을 안전하게 보호하는 기능을 한다.

삼성은 이런 인증 정보를 스마트폰에 선탑재하는 보안 솔루션 '녹스'(KNOX)를 통해 철저한 통제 속에서 처리한다. 미국 국방부로부터 보안 인증을 획득한 이 기술은 실시간으로 하드웨어와 미들웨어(OS), 소프트웨어(앱)의 보안 점검을 지속적으로 실시하는 동시에, 기기에 내장된 보호장치가 '녹스 보증'(KNOX Warranty)이 공격받았는지 여부를 확인해 기기의 보안 안전성을 담보한다.

삼성전자에 따르면 녹스는 소비자가 모바일 기기를 구입해 처음 전원 버튼을 누르는 순간부터 기기 전체의 인프라를 보호하며 작동한다. 시스템에 허가되지 않은 접근이 발견되면 즉시 차단하고 사용자에게 경고를 보낸다. 보안 공간인 녹스 컨테이너와 일반 사용자 공간은 단순한 방법으로 데이터 송수신을 할 수 없다.

또 삼성전자가 제공하지 않은 임의의 운영체제를 설치하거나 루팅(관리자 권한 해제), 다운그레이드 등으로 제품을 임의 변경할 경우 기기에 내장된 보호 장치 하드웨어 'eFUSE'를 변경해 '기기가 녹스 보증을 잃었다'고 기록한다. 하드웨어에 보증 분실 사실이 기록되면 이를 수정할 수 없으므로 녹스를 원상복구할 수 없다.

가령 O2O(Online to Offline) 결제 서비스인 삼성페이의 결제 과정을 보면 1단계에서 사용자가 지문'홍채 인증을 하면 기기는 제3자의 부정 사용을 방지한다. 2단계에서 녹스가 삼성페이 거래 중 악성 소프트웨어의 활동이 있는지를 지속 감시하며, 이상이 있을 경우 결제 절차를 중단한다. 문제가 없다면 3단계에서 카드 결제 데이터를 암호화된 일회용 가상번호로 바꿔 결제장비로 전송한다.

이런 구조는 기기 수준에서의 해킹을 예방하는 효과를 내는 동시에, 사용자와 제3자가 기기를 무단 변조하는 일을 방지해 항상 높은 수준의 보안을 유지할 수 있도록 한다. 녹스는 앞서 개방된 구조로 인해 보안이 취약한 것으로 지적되던 구글의 모바일 운영체제 '안드로이드'의 보안을 한층 높였다는 평가를 받는다.

◇손가락 올려 잠금 해제, 맥북 신제품에도 탑재

◆애플 터치 아이디+샌드박스 "단단히 걸어 잠근 문, 절대 침입 못해"

애플의 보안 인증 시스템은 사용자 지문을 기기에 저장하는 방식의 '터치 아이디'(Touch ID)다. 2013년 '아이폰 5s'에 처음 도입된 이 기술은 유'무료 앱을 다운로드할 때, O2O 결제 기능인 '애플 페이'(Apple pay) 결제 때, 기기'앱의 잠금을 해제할 때 쓰인다.

터치 아이디는 사용자가 홈버튼에 손가락을 올려만 놓으면 홈버튼 테두리의 금속 링이 손가락과 전류를 주고받으며(전기 신호의 변화를 인식하는 정전식) 신체의 일부임을 확인한 뒤 유리 소재의 홈버튼을 통해 지문의 일치 여부를 즉시 확인한다.

지문은 기기의 하드웨어 AP(Application Processor: 전자기기의 두뇌) 속에 별도로 마련된 '보안 엔클레이브'(Secure Enclave)에서 이중 암호화돼 저장'처리된다. 인증이 필요할 때 보안 엔클레이브는 기기 속 지문 정보를 운영체제나 소프트웨어로 전송하는 대신 지문 정보가 기기에 저장된 것과 일치하는지 여부만을 운영체제로 보낸다.

터치 아이디는 이르면 올해 중 애플의 노트북 라인업인 맥북 프로의 차세대 모델에도 탑재될 전망이다.

다만 지문은 사용자가 사용하던 물건만 있어도 손쉽게 탈취할 수 있다는 단점이 있다. 실제로 최근 외국에서는 범죄 수사 과정를 위해 이미 사망한 범인의 지문을 3D 스캐너로 본뜬 뒤 모조 지문에 전류를 흘려보내는 방식으로 그의 아이폰 잠금을 해제한 사례가 등장했다.

애플은 보안 무결성을 지키고자 사용자의 조작 권한을 극도로 제한하는 것으로 유명하다. 기기에는 자사의 모바일 기기용 운영체제 'iOS' 이외에는 어떤 운영체제도 설치하지 못하도록 막고 있다. 앱 또한 애플 앱스토어만을 통해 유통되도록 한다. 개발자가 앱스토어에 등록하는 앱은 길게는 수십 일 동안 애플 직원들의 보안 검수 절차를 밟은 뒤 앱스토어에 공개된다.

애플은 또한 운영체제와 앱을 모두 샌드박스(Sandbox) 시스템으로 관리해 보안에 강한 모습을 보인다. 샌드박스란 컴퓨터에서 프로그램이나 명령을 실행할 때 격리된 공간에서만 작동하도록 하는 기술이다. 예를 들어 아이폰 사용자가 인터넷에서 악성코드가 내포된 한컴 한글워드 문서(hwp)를 내려받으면 기기는 이를 '한컴오피스' 앱 또는 이를 읽을 수 있는 특정 앱에 저장한 뒤 앱을 실행해서만 문서를 열어볼 수 있도록 해 기기나 다른 앱에 저장된 정보를 빼앗길 우려가 없다.

그럼에도 iOS에 대한 공격 시도가 세계 곳곳에서 발생하자 애플은 최근 자사 제품에서 보안 취약점을 찾아내는 화이트 해커와 보안 전문가에게 최대 2억원 상당의 보상금을 지급한다는 계획을 공개했다. 이를 통해 미처 찾지 못한 취약점을 개선하고 보안을 더욱 강화하겠다는 의도다.