• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

레노버, 델, MS표 랩톱에서 구현된 윈도 헬로, 공략 가능하다 2023.11.24

생체 정보로 시동 걸고 로그인 해야 하는 PC들이 늘어나는 중이다. 하지만 생체 인증 과정에서 허점들이 이따금씩 발견되고 있다. 최근에는 윈도 헬로 기능과 일부 지문 센서들 간 좋지 않은 궁합이 드러나기도 했다.

[보안뉴스 문정후 기자] 현대 PC들에 탑재되어 있는 지문 인식 장치를 침해하는 방법을 일부 보안 전문가들이 고안해냈다. 보안 업체 블랙윙인텔리전스(Blackwing Intelligence)가 샘플 컴퓨터를 가지고 실험한 끝에 얻어낸 성과로, 실험에 사용된 샘플 컴퓨터는 델 인스피론 15, 레노버 씽크패드 T14, 마이크로소프트 서피스 프로 8/X였다. 전부 MS의 윈도 헬로(Windows Hello) 기능과 관련이 있었다.

[이미지 = gettyimagesbank]


공격이 성립하려면 두 가지 조건이 전제되어야 한다고 한다.
1) 피해자가 컴퓨터의 지문 인증 기능을 활성화 한 상태여야 한다.
2) 공격자가 피해자의 장비에 물리적으로 접근할 수 있어야 한다.

결론부터 말해 문제는 지문 센서 그 자체가 아니었다. 지문 센서들은 완벽하게 작동했지만, 지문을 읽어들인 뒤가 문제였다. 장비와 센서 사이에 발생하는 정보 교류 과정에 연구원들이 개입할 수 있었기 때문이다. 블랙윙의 CEO인 제시 다과노(Jesse D’Aguanno)는 이번 보고서를 통해 제시된 문제가 전부 패치됐다고 하는데, 이와 관련하여 제조사 측에서는 공식적으로 확인하거나 발표하지 않은 상황이다.

지문 센서, 어떻게 농락하는가
문제의 핵심인 ‘윈도 헬로’ 기능은 ‘매치 온 호스트(match-on-host, MoH)’가 아니라 ‘매치 온 칩(match-on-chip, MoC)’ 방식을 지원하도록 설정되어 있다. 즉, 민감한 지문 정보를 호스트 컴퓨터에 저장하고 처리하는 위험을 감수하지 않고 별도의 마이크로프로세서와 스토리지를 통해 한다는 것이다. 그렇게 함으로써 호스트가 침해되는 상황에서도 생체 정보는 안전할 수 있다. 하지만 공격자가 생체 정보를 가져가는 게 아니라 센서 자체를 악성 센서로 대체할 경우나 직전의 정상적인 인증 과정을 재생할 경우 MoC 방식은 방어에 아무런 도움이 되지 않는다.

MS도 이러한 상황을 인지하고 있다. 그래서 센서와 호스트 사이 종단간 통신을 보호하기 위해 SDCP라는 보안 프로토콜을 개발하기도 했다. SDCP는 ‘안전한 장비 연결 프로토콜(Secure Device Connection Protocol)’의 준말이다. 하지만 위에서 언급한 세 가지 장비 중 두 개는 이 SDCP를 디폴트 상 비활성화시키고 있었다. 나머지 한 개는 SDCP의 구축 상태 자체가 좋지 않았다. SDCP라는 안전 장치가 있었지만 활용이 잘 되지 않고 있었던 것이다.

SDCP가 비활성화 되어 있던 장비의 경우 보안 ID를 평문으로 전송하고 있었고, 따라서 연구원들은 간단히 USB 하나를 활용해 이 부분을 악용하는 데 성공했다. 비정상적인 로그인 시도를 정상인 것처럼 보이게 만든 것이었다. 그 외에도 여러 방법을 사용해 SDCP가 비활성화 되어 있는 장비들에 비정상적으로 로그인 해 들어갈 수 있었다고 한다. 하지만 상세한 방법은 공개하지 않았다.

어떤 의미를 갖는가
다과노와 블랙윙이 진행한 이번 연구는 단 세 가지 종류의 랩탑을 대상으로 하고 있기 때문에 ‘모든 윈도 기반 랩톱이 위험하다’거나 ‘윈도 헬로는 무용지물’이라고 결론을 내리기 힘들다. 하지만 이번 기회에 여러 종류의 윈도 랩톱들도 점검을 해봐야 한다는 메시지를 던지기에는 충분하다. 델, 레노버, MS라고 하면 윈도 컴퓨터 시장에서 꽤나 큰 비중을 차지하는 업체이기 때문이다.

다과노도 이 지점을 지적한다. “이 세 회사만 이 세 가지 모델에서 실수를 한 게 아닐 겁니다. 또한 윈도 생태계만의 문제라고도 볼 수 없죠. 리눅스나 애플의 생태계에서도 지문 인식 장비는 널리 활용되고 있고, 따라서 어떤 문제가 여태껏 발견되지 않은 채 남아 있을지 모릅니다. 점검해볼 만한 일이라고 생각합니다.”

또한 생체 인식이라는 인증 기술 자체가 불안하다고 결론을 내리기도 힘들다는 게 다과노의 입장이다. “많은 보안 전문가들이 생체 인증 기술 자체를 좋지 않게 생각하기도 합니다. 바꿀 수 없고 대체할 수도 없는 인체의 정보를 활용한다는 것이 위험하다는 것이죠. 일리가 있습니다만 저는 안전하게 활용만 한다면 꽤나 유용할 수 있다고 보는 입장입니다. 이번 연구도 생체 인증이라는 기술 자체를 비판하기 위한 목적으로 진행한 것이 아님을 알아주었으면 합니다.”

3줄 요약
1. 윈도 헬로와 연계된 랩톱 지문 인식 기능, 공략 가능함.
2. 레노버, 델, MS의 장비들이 실험 대상이었지만 다른 브랜드 모델들도 위험할 수 있음.
3. 안전 프로토콜 있긴 하지만 제대로 활용되지 않고 있다는 것이 가장 큰 문제.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>