2024 | 03 | 30
4.8℃
코스피 2,746.63 0.81(0.03%)
코스닥 905.50 4.55(-0.5%)
USD$ 1347.5 -3.5
EUR€ 1453.1 -4.4
JPY¥ 890.5 -1.9
CNY¥ 185.8 -0.3
BTC 99,843,000 1,617,000(-1.59%)
ETH 5,030,000 70,000(-1.37%)
XRP 898.6 10.6(1.19%)
BCH 872,500 63,000(7.78%)
EOS 1,596 76(5%)
  • 공유

  • 인쇄

  • 텍스트 축소
  • 확대
  • url
    복사

갤럭시노트7, '철통 보안' 강조했지만 보안성 '시끌시끌'

  • 송고 2016.08.08 11:48 | 수정 2016.08.08 11:49
  • 이혜미 기자 (ashley@ebn.co.kr)

삼성페이 일회용 토큰 탈취 통한 해킹 가능성 논란

홍채인식기능 이용 편리성·정확도 불만 이어 해킹 위험성 지적도

고동진 삼성전자 무선사업부장 사장이 갤럭시노트7을 공개하고 있다.ⓒ삼성전자

고동진 삼성전자 무선사업부장 사장이 갤럭시노트7을 공개하고 있다.ⓒ삼성전자

삼성전자의 갤럭시노트7의 출시를 앞두고 삼성페이와 홍채인식 보안 기능을 두고 해킹 위험성이 제기되면서 논란이 되고 있다.

8일 관련업계에 따르면, 지난 4일(현지시간) 미국 라스베이거스에서 열린 보안 콘퍼런스 '블랙햇'에서 살바도르 멘도사라는 한 보안 전문가가 삼성페이의 카드정보 탈취를 시연하는 영상을 공개했다.

유튜브에 공개된 영상에서 멘도사는 손목에 착용된 소형 장치를 이용해 삼성페이의 일회용 결제 정보(토큰)를 탈취해 사용하는데 성공했다.

삼성페이는 스마트폰에 신용카드 정보를 저장한 뒤 실물카드 대신 스마트폰으로 카드를 이용하는 모바일간편결제서비스다.

삼성페이에 등록된 카드 정보는 암호화된 상태로 카드사로 전송된 후 가상카드번호인 토큰(Token)을 받아 결제를 수행한다. 토큰은 매 결제시마다 새롭게 생성되며 한번 사용된 후에는 재사용할 수 없다.

멘도사는 삼성페이가 일회용 토큰의 취약성을 이용했다. 토큰이 생성된 후 결제하지 않고 삼성페이를 끄면 최대 24시간까지 유효해 재사용이 가능하다는 점을 노렸다.

그는 '토큰겟'이라는 장치를 손목에 착용하고 삼성페이를 켜 자기장 형태의 토큰 정보를 탈취했다. 이후 이메일로 보내진 토큰 정보를 매그스푸프(MagSpoof)에 입력, 결제에 성공했다.

국내 연구진도 삼성페이의 해킹 가능성을 지적했다. 최대선 공주대 교수는 반경 2m 거리에서 해커가 삼성페이의 카드 정보를 탈취해 결제하는 데 성공했다고 밝혔다.

최 교수도 특수 장비를 통해 이용자가 실제 결제를 완료하기 전에 해커가 먼저 결제정보를 빼내는 방식을 이용했다.

최 교수는 이같은 삼성페이의 해킹 가능성을 8일 텍사스에서 열리는 보안 컨퍼런스 '유즈닉스(Usenix)'에서 발표할 예정이다.

삼성페이와 함께 갤럭시노트7이 강조하는 '홍채인식 보안'도 정확도와 해킹 위험성에 대한 지적이 나오고 있다.

보안전문가 살바도르 멘도사가 삼성페이 해킹을 시연하는 영상. ⓒ살바도르 멘도사 유투브 영상 캡처.

보안전문가 살바도르 멘도사가 삼성페이 해킹을 시연하는 영상. ⓒ살바도르 멘도사 유투브 영상 캡처.

갤럭시노트7은 삼성 스마트폰 최초로 '홍채인식'을 지원한다. 홍채인식은 지문인식보다 한 단계 진보된 생체인증으로 현존하는 생체인식 보안기술 중 가장 안정성이 높은 것으로 평가된다.

삼성전자는 홍채인식 기능이 삼성전자의 보안 플랫폼인 녹스(Knox)와 함께 최고 수준의 보안과 프라이버시를 제공할 것이라고 강조했다.

제품 공개 후 홍채인식 기능에 대한 반응은 뜨거웠다. 언팩행사에서 제품을 직접 체험해본 취재진들은 빠른 인식 속도에 감탄했다.

그러나 스마트폰을 눈과 일정 거리에 대야 하고 직사광선을 받는 곳이나 무늬가 있는 콘텍트렌즈 사용자들이 이용할 수 없다는 후기도 이어지고 있어 이용 편리성과 정확성 등에 문제점이 제기되고 있다.

고동진 삼성전자 무선사업부장 사장 역시 "홍채인식 기능은 3년 반 이상을 노력을 기울여 완성했으며 안경을 쓰더라도 인식에는 아무런 지장이 없다"고 강조했으나 "다만 아쉬운 부분이 있다면 햇볕이 쨍쨍 내려 쬘 때 사용하면 좀 힘든 것은 있다"고 언급했다.

영국 매체 미러는 전문가를 인용해 "기존 패스워드는 해킹을 피해 수정하면 그만이지만 홍채는 (수정이 불가능해) 일평생 문제를 일으킬 수 있다"면서 "홍채인식 스마트폰이 오히려 소비자들을 새로운 위험에 빠트릴 수 있다"면서 홍채인식 보안의 위험성을 우려했다.

'갤럭시노트7'는 홍채 인식을 이용해 각종 웹 사이트 로그인이나 모바일 뱅킹 서비스 등을 보다 안전하고 손쉽게 이용할 수 있다고 강조하고 있다. 개인 정보를 보다 안전하게 보관, 관리할 수 있는 '보안 폴더' 기능 역시 홍채인식 기능을 주요 보안 수단으로 사용하고 있다.

삼성전자는 이번 갤럭시노트7의 '철통 보안'을 내세우고 있다. 갤럭시노트7의 핵심기능인 홍채인식과 삼성페이 등이 보안성 논란이 계속되면서 향후 흥행 성적에는 어떤 영향을 미칠지 업계의 관심이 집중되고 있다.

갤럭시노트7의 홍채인식 기능. ⓒEBN

갤럭시노트7의 홍채인식 기능. ⓒEBN


©(주) EBN 무단전재 및 재배포 금지

전체 댓글 0

로그인 후 댓글을 작성하실 수 있습니다.

시황

코스피

코스닥

환율

KOSPI 2,746.63 0.81(0.03)

코인시세

비트코인

이더리움

리플

비트코인캐시

이오스

시세제공

업비트

03.30 00:32

99,843,000

▼ 1,617,000 (1.59%)

빗썸

03.30 00:32

99,606,000

▼ 1,705,000 (1.68%)

코빗

03.30 00:32

99,767,000

▼ 1,606,000 (1.58%)

등락률 : 24시간 기준 (단위: 원)

서울미디어홀딩스

패밀리미디어 실시간 뉴스

EBN 미래를 보는 경제신문