화이트햇 해커들에 의해 손쉽게 해킹된 삼성 갤럭시5의 지문 잠금 기술

개요

• 삼성의 새로운 스마트폰 갤럭시5가 내세운 지문센서 기술이 화이트햇 해커들에 의해 손쉽게 해킹되어 美금융
  결제서비스인 페이팔 계정에도 접근할 수 있다고 밝힘
• 패스워드를 대체할 수단으로 각광받았으나 쇼핑몰, 대중교통, 레스토랑 이용시 흔적으로 인한 유출 위험성이
  대두

주요내용

• 삼성 갤럭시5의 새로운 취약점은 애플 아이폰의 터치 ID 지문스캔 우회보다 더 위험성이 높으며, 부정확한
  손가락터치에 의하여 암호를 요구하는 알고리즘이 없는 것으로 밝혀짐
• 갤럭시5 지문인식 인증기는 페이팔같은 금융 또는 결제 앱과 연관되어 있어, 해킹시 금품탈취수법으로 악용될
  소지가 있음
  - 中해상도의 지문사진만으로도 충분히 이번취약점 공격에 악용될 수 있음을 밝힘
• 독일의 보안연구소, 해킹전문가 Schlabs는 이 취약점을 이용하여, 기기가 전원이 꺼져있을때도 스푸핑이 
  가능하며 기기의 설정 암호변경을 조작함
  ※ 스푸핑(Spoofing): 거짓데이터를 이용하여 통신흐름을 왜곡시켜, 불법적인 이점을 얻는 해킹 공격
• Schlabs은 이번 취약점에 관련하여 삼성이 보안에 더 신경써야한다고 지적
  - 몇 차례 암호풀기시도 실패 후 더 강화된 암호 잠금 상태로 바뀐다거나 기기 잠금 상태로 전환 등의 
    보완방법이 필요
• 지문인식 스마트폰 이용자에게 물리적 압박을 가하여 강제로 암호를 풀 수 있는 만큼 지문인식이 암호입력
  보다 보안 측면에서 안전하다는 관점은 잘못되었음을 지적

[출처]

1. http://arstechnica.com/security/2014/04/fingerprint-lock-in-samsung-galaxy-5-easily-defeated-by-whitehat-hackers/(2014.4.16.)

작성 : 침해사고분석단 분석기획팀