그래도 사용해야 합니까?

윈도우 노트북 지문 인식 로그인, 편리하지만 보안은?

윈도우 노트북에 지문 스캐너를 이용해 로그인하는 것은 매우 간편합니다. 손가락을 스캐너에 대기만 하면 바로 시스템에 접속할 수 있기 때문입니다. 하지만, 일부 연구자들은 이러한 편리함에도 불구하고 완벽한 해킹 방지책은 아니라는 점을 지적했습니다.

그렇다면, 어떤 방식으로 윈도우 Hello 지문 인식을 뚫고 해킹을 할 수 있을까요? 그리고 우리는 이러한 문제에 대해 얼마나 걱정해야 할까요?

윈도우 Hello 지문 스캐너 해킹, 정말 가능할까?

만약 해커가 윈도우 시스템의 지문 스캐너를 우회하려고 한다면, 목표는 윈도우 Hello 서비스를 통과하는 것입니다. 이 서비스는 PIN, 얼굴 인식, 그리고 지문 인식과 같은 다양한 윈도우 로그인 방법을 담당합니다.

윈도우 Hello의 보안 취약점을 연구하던 Jesse D’Aguanno와 Timo Teräs라는 두 명의 보안 전문가가 블랙윙 본부 웹사이트에 연구 결과를 발표했습니다. 그 보고서에는 델 Inspiron 15, 레노버 ThinkPad T14, 그리고 마이크로소프트 Surface Pro 타입 커버와 같은 인기 있는 세 가지 장치를 어떻게 해킹했는지에 대한 상세한 내용이 담겨 있습니다.

델 Inspiron 15에서 윈도우 Hello 해킹 방법

델 Inspiron 15의 경우, 해커들은 노트북을 리눅스 운영체제로 부팅할 수 있다는 사실을 발견했습니다. 리눅스에 로그인한 후, 그들은 시스템에 지문을 등록하고 윈도우 사용자 계정과 동일한 ID를 부여할 수 있었습니다.

그 후, 해커들은 PC와 센서 사이의 연결에 대해 중간자 공격을 실행했습니다. 즉, 윈도우가 지문을 스캔하여 유효성을 확인하는 과정에서, 그들은 리눅스 지문 데이터베이스를 참조하도록 설정했습니다. 윈도우가 자체 데이터베이스가 아닌 리눅스 데이터베이스를 통해 지문을 확인하게 만든 것입니다.

해커들은 리눅스 데이터베이스에 자신들의 지문을 업로드하고, 윈도우 사용자 계정과 같은 ID를 할당했습니다. 그 후, 그들은 이 지문을 사용하여 윈도우에 로그인을 시도했습니다. 인증 과정에서, 그들은 패킷을 리눅스 데이터베이스로 리디렉션하여 해당 ID의 사용자가 로그인할 준비가 되었음을 윈도우에 알렸습니다.

레노버 ThinkPad T14에서 윈도우 Hello 해킹 방법

레노버 ThinkPad의 경우, 해커들은 노트북이 지문을 확인하기 위해 고유한 암호화 방식을 사용한다는 것을 알아냈습니다. 몇 차례의 시도 끝에, 그들은 암호를 해독하여 지문 확인 과정에 침투할 수 있는 방법을 찾았습니다.

암호 해독 후, 해커들은 지문 데이터베이스가 자신들의 지문을 사용자의 지문으로 인식하도록 만들었습니다. 그 후, 그들은 간단히 지문을 스캔하여 레노버 ThinkPad에 접근할 수 있었습니다.

마이크로소프트 Surface Pro 타입 커버에서 윈도우 Hello 해킹 방법

해커들은 Surface Pro가 가장 해킹하기 어려운 장치일 것이라고 예상했지만, Surface Pro에는 유효한 지문을 확인하기 위한 보안 조치가 부족하다는 사실에 놀랐습니다. 실제로, 그들은 단 하나의 방어 메커니즘을 우회하는 것만으로도, 지문 스캔이 성공했다는 신호를 보내면 장치가 이를 허용한다는 것을 알아냈습니다.

이러한 해킹 사례는 우리에게 무엇을 의미할까요?

만약 여러분이 지문을 사용하여 노트북에 로그인하고 있다면, 이러한 해킹 소식이 꽤나 불안하게 들릴 수 있습니다. 하지만 지문 인식 사용을 완전히 포기하기 전에 몇 가지 중요한 사항을 기억해야 합니다.

1. 공격은 숙련된 해커들에 의해 수행되었습니다.

서비스형 랜섬웨어와 같은 위협이 위험한 이유는 최소한의 사이버 보안 지식만 있다면 누구든 사용할 수 있기 때문입니다. 하지만 위에 언급된 해킹 사례는 장치가 지문을 인증하는 방법과 이를 우회하는 방법에 대한 깊은 이해를 필요로 하는 고도의 전문 지식을 요구합니다.

2. 공격은 공격자와 장치 간의 물리적 상호작용을 필요로 합니다.

해커가 위와 같은 공격을 수행하려면 반드시 장치와 물리적으로 접촉해야 합니다. 보고서에 따르면 해커들은 일단 장치에 접근하면 공격을 수행할 수 있는 USB 장치를 만들 수 있다고 합니다. 이는 잠재적인 공격자가 해킹을 시도하기 위해서는 PC에 특정 장치를 연결해야 함을 의미합니다.

3. 공격은 특정 장치에서만 작동합니다.

각각의 공격은 동일한 목적을 달성하기 위해 서로 다른 경로를 거쳐야 한다는 것을 알 수 있습니다. 모든 장치는 고유하며, 한 장치에서 성공한 해킹이 다른 장치에서는 작동하지 않을 수 있습니다. 따라서 윈도우 Hello가 모든 장치에서 완전히 뚫렸다고 생각할 필요는 없습니다. 현재까지 알려진 취약점은 이 세 가지 장치에 국한됩니다.

이러한 해킹은 무섭게 들릴 수 있지만, 실제 목표물을 상대로 수행하기는 매우 어려울 것입니다. 해커는 이러한 공격을 수행하기 위해 장치를 훔쳐야 할 가능성이 높으며, 이는 당연히 이전 소유자에게 경고를 보낼 것입니다.

지문 해킹으로부터 안전을 지키는 방법

위에서 설명했듯이, 발견된 해킹은 실행하기가 복잡하며, 해커가 물리적으로 해킹하려면 장치를 가져가야 할 수도 있습니다. 따라서 이러한 공격이 개인을 특정 목표로 삼을 가능성은 극히 낮습니다.

그러나 여전히 불안하다면 지문 스캐너 해킹으로부터 자신을 보호하기 위해 다음과 같은 몇 가지 방법을 시도해 볼 수 있습니다.

1. 장치를 방치하거나 보호되지 않은 상태로 두지 마세요.

해커는 여러분의 장치와 물리적으로 상호 작용해야 하기 때문에, 장치가 악의적인 사람들의 손에 들어가지 않도록 주의해야 합니다. 컴퓨터의 경우, 도난 방지 조치를 취할 수 있습니다. 노트북을 사용하는 경우에는 공공장소에 혼자 두지 마시고, 도난 방지용 노트북 가방을 사용하여 누군가 가방을 찢는 것을 방지하세요.

2. 다른 로그인 방법을 사용하세요.

윈도우 Hello는 다양한 로그인 방법을 지원하며, 일부 방법은 다른 방법보다 더 안전합니다. 지문 인식이 불편하다면, 얼굴, 홍채, 지문, PIN 또는 비밀번호 로그인 중 더 안전하다고 생각되는 방법을 선택하여 사용하세요.

이러한 해킹이 걱정된다면, 해커들이 여러분을 특정 목표로 삼을 가능성은 매우 낮다는 점을 기억하는 것이 중요합니다. 따라서 지문 스캔을 안심하고 사용해도 되지만, 다른 사람이 여러분의 장치를 훔치는 것을 허용하지 마세요.