아이폰4S의 배터리 조기 소진 논란 속에서 이번에는 공개 한달도 안된 안드로이드폰 보안기능이 말썽이다.
최신 안드로이드4.0의 최대 특징가운데 하나인 얼굴인식을 통한 잠금열기 기능인 페이스언락(Face Unlock)이 '소유자의 맨 얼굴'이 아닌 '소유자의 사진'만 보여줘도 풀리는 것으로 드러났다.
페이스 언락기능은 구글의 최신 스마트폰 OS인 안드로이드4.0(아이스크림샌드위치)에 새로 탑재된 기능으로 본인의 얼굴인증을 통해 단말기 잠금장치를 해제할 수 있게 한 기능이다.
씨넷은 13일(현지시간) 안드로이드4.0 OS의 새로운 기능인 얼굴인식으로 잠금해제하는 기능인 페이스언락 기능이 휴대폰이미지로도 해제된다는 사실을 보도했다. 이는 높은 수준의 보안이 요구되는 내용을 안드로이드4.0폰에 담아놓을 때는 주의해야 한다는 의미다.
■페이스북 언락 기능 이미지 기능보여줘도 무너져
보도는 모바일 블로그 소야 신카우가 만들어 올린 동영상데모를 통해 페이스언락기능이 단순한 얼굴이미지를 보여주는 것만으로도 여지없이 무너짐을 확인했다.
이 동영상에서는 실험참가자가 안드로이드4.0(일명 아이스크림샌드위치)를 설치한 삼성전자 갤럭시넥서스 잠금장치를 풀기위해 갤럭시노트의 이미지를 보여주자 잠금장치가 풀리는 모습을 보여준다.보도는 갤럭시넥서스가 사용자의 얼굴을 인식하도록 프로그램하고 똑같은 단말기에 똑같이 보이는 얼굴 사진을 찍은 후 단말기 얼굴인식 기능 속이기를 시작하면 작동할 것이라고 전했다.
이 시연은 갤럭시넥서스행사가 있었던 홍콩에서 이뤄진 것으로 아직 공식적으로 발표된 적이 없다.
이 동영상의 정보는 이 시험이 누군가가 블로거에게 트윗으로 만일 인쇄된 사진으로도 페이스언락 기능을 속여먹을 수 있는지 질문하면서 이뤄졌다.
보도에 따르면 이 기능 시연 당시 페이스언락기능 시험자는 프린트된 사진을 갖고 있지 않았기에 갤럭시노트폰으로 찍은 디지털 얼굴사진으로 이 페이스언락 잠금기능에 대한 시험을 했다.
■구글, “페이스언락은 낮은 보안 단계” ...진화나서
구글은 씨넷의 이 시험결과에 대한 질문에 대해 “이 얼굴인식기능은 낮은 보안기능을 가지고 있으며 시험적인 것”이라고 말했다.
이 인터페이스는 사용자에게 페이스언락은 패턴인식,개인식별넘버(PIN),또는 패스워드보다 낮은 보안 기능을 갖고 있다“며 ”그래서 누군가 당신과 비슷하게 보이는 사람은 당신의 휴대폰잠금을 풀 수 있다“고 경고하고 있다. 누군가 사전에 계획적으로 잠금장치를 풀기위해 단말기 주인공의 사진을 확보한 후, 그가 이 페이스언락기능의 단말기를 잠그지 않은채 자리를 뜨기를 기다릴 수 있다는 점도 가능하다는 의미가 된다.
물론 안드로이드4.0 폰 사용자가 이같은 제한적 보안기능을 알고 있는 한에는 이 낮은 수준의 보안기능을 사용하는 것이 휴대폰 잠금장치를 하지 않는것보다 낫다는 것은 말할 필요도 없다.
■당초엔 “해킹된다”에 “아니다 믿어달라”했다가...
동영상 시연을 볼 때 왜 최근 한 구글러가 사진을 사용하면 페이스북 언락으로 보호되는 단말기를 열 수 없을 것이라고 말했는지 이해하기 힘들다.
지난 달 안드로이드 애프터마켓 펌웨어 대체물 사이아노겐모드의 개발자 쿠시크 더타는 “페이스북 얼굴인식 기능은 정말 손쉽게 해킹될 수 있다. 단말기에 사진을 보여주어 보라”고 트위트했다. 이에 대해 팀 브레이 안드로이드팀멤버는 “아니다, 우리를 믿어달라”고 답신한 바 있다.
더 넥스트웹은 “구글은 자사의 얼굴인식 기술이 사진을 보여주는 것으로 간단히 통과되지는 않게 하려 했다는 것을 받아들이게 하고 싶었겠지만 이 동영상은 통과시킨다는 것을 확인시켜 주고 있다”고 썼다.
앞서의 페이스북 언락 기능이 디지털 이미지로도 풀리는 모습은 소야 신카우가 유튜브에 공개한 다음 동영상으로 확인할 수 있다.
관련기사
- 사진으로 본 안드로이드 4.0 이모저모2011.11.13
- 삼성-구글, 마침내 갤럭시 넥서스폰 공개2011.11.13
- ‘얼굴 인식까지’…갤럭시 넥서스 어떤 폰?2011.11.13
- 안드로이드 4.0, 19일 홍콩서 첫선2011.11.13
