패스 앱 모바일 신분증 본인 인증 취약점
국내선 공항 탑승구, 공직선거 투표장, 주민센터 등 공공과 민간을 가리지 않고 본인 확인 수단으로 널리 쓰이는 통신 3사의 '패스(PASS) 앱 모바일 신분증'이 허술한 안면 인식 기술로 인해 타인에게 무방비로 뚫리는 치명적인 취약점이 발견되어 큰 충격을 주고 있습니다.
단순히 가짜 마스크를 썼을 뿐인데 성별이 다른 사람의 신분증까지 통과되는 어처구니없는 상황이 벌어졌는데요. 무려 1년 가까이 보안 패치를 방치한 통신 3사의 실태와 유출 위험성을 총정리해 드립니다.
성별이 다른데도 패스 완료: 황당한 위변조 돌파 방식
실제 언론 보도를 통해 시연된 패스 앱의 모바일 신분증 발급 및 인증 과정은 생각보다 너무나 쉽게 무너졌습니다.
인쇄물 사진 촬영으로 1차 통과: 한 여성이 본인이 아닌 다른 남성의 실물 신분증 인쇄본을 카메라로 찍어 등록을 시도하자, 허술하게도 그대로 인증이 통과되었습니다.
3D 실리콘 마스크에 뚫린 안면 인식: 가장 강력해야 할 본인 인증 단계인 안면 인식 알고리즘도 무용지물이었습니다. 신분증 주인인 남성의 얼굴을 본뜬 3D 실리콘 마스크를 카메라에 비춘 뒤 카메라를 조작하는 여성이 대신 눈을 깜빡이고 고개를 젓자 생체 인증이 완료되었습니다.
라이브니스 기술의 붕괴: 안면 인식 과정에서 사진이나 동영상 등 위변조된 가짜 얼굴을 걸러내고 카메라 앞의 인물이 실제 살아있는 사람인지 판별하는 라이브니스 기술에 치명적인 구멍이 뚫려있음이 입증된 순간이었습니다.
정부 모바일 신분증은 안전, 패스(PASS) 앱만 터진 이유
현재 패스 모바일 신분증 서비스의 가입자 수는 약 1,100만 명에 육박합니다.
일상에서 광범위하게 쓰이는 만큼 파장이 클 수밖에 없는데요.
정부가 발행하는 모바일 신분증은 멀쩡한데 왜 대기업 통신 3사의 패스 앱만 이런 사태가 벌어졌을까요?
원인은 통신 3사의 1년짜리 늑장 업데이트: 놀랍게도 행정안전부의 정부 모바일 신분증과 통신 3사의 패스 앱은 동일한 보안 업체의 안면 인식 솔루션(기술)을 공유하고 있습니다. 해당 개발사는 이미 지난해 12월 이 문제를 인지하고 보완 패치(업데이트)를 배포했으나 통신 3사는 1년 가까이 업데이트를 진행하지 않고 위험을 방치해 왔던 것으로 드러났습니다.
검증 절차 누락 의혹: 기술 적용 단계에서도 허점이 있었습니다. 원래 이 기술을 도입하려면 한국정보통신기술협회(TTA)의 적합성 평가를 통과해야 합니다. 하지만 검증 과정에서 정면 이미지와 움직이는 실물 얼굴이 일치하는지 체계적으로 판별하는 핵심 검증 절차 중 일부가 누락된 채 승인이 난 것으로 밝혀졌습니다.
갈수록 커지는 명의 도용 범죄 우려와 대책
최근 유명 아이돌 그룹 BTS의 멤버 정국 등 유명인의 명의를 도용해 알뜰폰을 불법 개통하는 범죄 피해 사례가 잇따라 발생하고 있어 대중의 불안감이 극에 달한 상태입니다. 스마트폰의 최후 보루인 모바일 신분증 시스템마저 뚫릴 경우, 명의 도용을 통한 비대면 대출이나 금융 사기 등 2차 피해는 감당할 수 없을 만큼 커질 전망입니다.
정치권의 질타와 기준 강화 촉구: 최민희 국회 과학기술정보방송통신위원장은 이번 사태에 대해 "천만 명이 넘게 쓰는 국가적 서비스가 뚫린 것은 매우 충격적인 일이다. 관련 범죄 예방과 안보를 위해 한국정보통신기술협회(TTA)의 검증 기준과 허가 절차를 지금보다 훨씬 더 엄격하게 강화해야 한다."라고 촉구했습니다.
통신 3사의 급진 조치: 사태의 심각성을 인지한 SKT, KT, LGU+ 통신 3사는 뒤늦게 사태 수습에 나섰으며 이번 주말 안으로 안면 인식 취약점을 보완하는 긴급 보안 패치 및 시스템 업데이트를 전면 완료하겠다는 공식 입장을 밝혔습니다.