삼성 “일정 조건에서만 뚫린다” 상황 축소…삼성페이·은행앱 등 보안 우려
삼성전자가 갤럭시S10과 갤럭시노트10 등 최신 스마트폰에서 선보인 초음파 기반의 디스플레이 내장형 지문인식이 보안에 매우 취약한 것으로 나타나 이용자들의 주의가 요구된다.
삼성전자 측은 먼저 등록된 지문으로 일부 실리콘 케이스 위에 지문인식을 한 후에만 비등록 지문에도 잠금이 해제된다며 일정 조건에서만 발생하는 문제임을 강조했지만, 확인 결과 실리콘 케이스를 씌우고 비등록 지문을 처음으로 갖다 대도 잠금이 해제되는 것으로 나타났다.
17일 외신과 국내 IT 커뮤니티 등에 따르면 갤럭시S10과 갤럭시노트10 전면에 실리콘 케이스를 씌웠을 때 사전에 등록한 지문이 아닌 다른 지문을 사용해도 잠금이 풀리는 것으로 나타났다.
더 선과 포브스 등에 따르면 이베이에서 약 3달러에 판매되는 전·후면 투명 실리콘 케이스를 갤럭시S10에 씌웠을 때 등록된 지문이 아닌 다른 손 지문으로도 스마트폰 잠금이 해제됐다. 지문이 아니라 손가락 마디를 대었을 때도 잠금이 풀리는 것으로 나타났다.
특정한 케이스가 아닌 실리콘 케이스 다수에 취약하다는 지적도 제기됐다.
국내 사용자 A씨는 “갤럭시노트10 전면에 각기 다른 실리콘 케이스 5종을 뒤집어씌우고 등록되지 않은 지문을 눌러봤더니 잠금이 모두 해제됐다”고 주장했다. 국내 한 사용자는 IT커뮤니티인 미니기기코리아에 “9월 10일 삼성전자에 처음 문제를 제기했으나 아직 문제가 해결되지 않았다”고 전했다.
삼성전자 측은 문제가 불거지자 실리콘 케이스로 덮고 등록한 지문을 인식했을 때에만 실리콘 패턴이 함께 인식돼 이후에도 비등록 지문으로 잠금이 해제된다고 설명했다. 하지만 실리콘 케이스를 씌우고 등록되지 않은 지문으로 먼저 지문인식을 했을 때도 잠금이 해제되는 현상에는 설명을 내놓지 못하고 있다.
실리콘 케이스만 있으면 타인의 휴대폰을 쉽게 잠금 해제할 수 있어 보안 문제에 대한 심각한 우려가 제기된다. 삼성전자는 삼성페이, 은행 애플리케이션 등에서 지문인식을 본인 인증 수단으로 사용하고 있다.
카카오뱅크는 이날 홈페이지 공지를 통해 “갤럭시S10, 갤럭시노트10 등을 사용 중인 경우 문제가 해결될 때까지 지문 인증을 끄고 패턴과 인증 비밀번호를 이용해 주시기 바란다”고 권고했다.
이 같은 문제는 초음파 기반 디스플레이 지문 인식 센서를 사용하는 갤럭시S10, 갤럭시노트10뿐만 아니라 광학식 기반 지문인식 센서를 사용하는 갤럭시탭S6에서도 보고됐다.
센서가 지문을 인식하는 과정에서 실리콘 케이스 안의 패턴까지 지문으로 잘못 인식하는 소프트웨어 오류로 추정된다. 지문인식률을 높이기 위해 인식 허용 범위를 넓히다가 발생한 문제라는 지적이 나온다.
삼성전자는 이날 오후 삼성 멤버스 공지를 통해 “일부 실리콘 케이스를 사용하는 경우 실리콘 케이스의 패턴이 지문과 함께 등록되면서 발생하는 현상”이라며 “소프트웨어 패치를 통해 수정할 예정이니 항상 최신 버전을 유지해달라”고 당부했다.
LG전자 V50S 씽큐에 도입한 광학식 디스플레이 내장 지문인식 센서에는 비슷한 문제가 발생하지 않는 것으로 알려졌다.
