국감 현장서 직접 실리콘 지문인식 시연…쇼단서 국내 CCTV 노출 심각

송희경 자유한국당 의원. / 사진=연합뉴스
송희경 자유한국당 의원이 국정감사에서 디지털 보안에 대해 재차 강조했다. 특히 직접 실리콘으로 만든 가짜 지문으로 손쉽게 생체인증을 뚫는 과정도 시연했다.

송 의원은 10일 국회 과학기술정보방송통신위원회가 과학기술정보통신부를 상대로 연 국정감사에서 “초선 후 3번째 맞는 국감이다. 매번 보안에 대해서 강조했지만 별로 진전이 없는 것 같다”고 운을 뗐다.

송 의원은 주민등록증에 있는 지문을 이미지 파일로 전환해 음영을 토대로 높낮이를 파악해 쉽게 실리콘 지문을 만들어낼 수 있다고 지적했다. 이 지문을 활용하면 스마트폰 등 생체인식으로 빠르게 진입하는 것은 물론 지문인식을 통한 간편 결제도 가능하다고 말했다.

이날 송 의원은 직접 만든 실리콘 지문을 가져왔다. 10분 만들었다는 이 지문으로 직접 스마트폰에 로그인을 했다. 송 의원의 실제 지문으로는 열리지 않던 스마트폰이 실리콘 지문으로 쉽게 뚫렸다. 또 삼성페이를 열어 실리콘 지문으로 인식하니 순식간에 117만원 결제가 가능한 화면으로 넘어갔다.

송 의원은 스마트폰과 주민등록증을 동시에 분실한다면 이런 일이 쉽게 가능하다고 설명했다. 실제로 불법 사이트에서는 이런 실리콘 손가락들이 거래되고 있다. 이에 대해 송 의원은 지문인식 시 단순히 모양뿐 아니라 땀이나 혈류 등을 인식하거나 전자신분증을 도입하는 등 대응책을 마련해야 한다고 강조했다.

쇼단에서 국내 CCTV, 웹캠을 검색한 모습. / 사진=쇼단 홈페이지 캡처
이어 송 의원은 유영민 과기정통부 장관에게 ‘쇼단’에 대해 아느냐고 물었다. 쇼단은 세계 사물인터넷(IoT) 검색 엔진이다. 여기서는 인터넷에 연결된 모든 기기의 정보를 볼 수 있어 세계 각국의 CCTV를 마음대로 볼 수 있다. 송 의원은 이날 국내 한 사무실 CCTV를 보여주면서 “쇼단을 보다가 ‘co.kr’로 검색해 어느 회사인지도 모를 한 회사의 CCTV를 볼 수 있었다”며 “너무 놀랐다. 아무나 이런 CCTV에 접근해서 볼 수 있어서 해커들의 놀이터가 되고 있다”고 말했다.

쇼단에는 이런 정보들이 대량 노출되고 있지만 과기정통부와 인터넷진흥원은 실태를 제대로 파악하지 못하고 있는 것으로 드러났다. 특히 정보에는 시스템 상 허점 등도 포함돼 있는 것으로 알려졌다. 실제로 쇼단에서 검색한 정보를 토대로 군사기밀 노출, 디도스 공격, 랜섬웨어 공격 등의 피해사례들이 발견된 바 있다.

송 의원이 웹캠으로 검색한 결과 한국에서 404개가 검색됐다. 이는 쇼단에 게시된 국가 가운데 세 번째로 많은 개수다. 게다가 CCTV 검색건수는 1140건이나 검색돼 1위를 차지했다. 이 가운데 비밀번호가 설정돼 있지 않은 카메라 등은 별도의 해킹 과정 없이도 누구나 접근해서 실시간 영상을 볼 수 있는 것으로 나타났다.

최근 한국인터넷진흥원은 이동통신사와 기업·IoT 실증 사업·보안업체 등이 활용할 수 있도록 IoT 기기 보안 취약점 정보를 검색하는 ‘한국형 쇼단’을 개발 중이다. 45억원의 예산을 투입하여 올해 말 개발 완료 계획이다. 그러나 송 의원은 전 세계적으로 일반인들에게도 공개된 쇼단의 문제점들에 대해서는 별다른 대책을 취하지 않고 있어 한계가 있다고 지적했다.

 

저작권자 © 시사저널e 무단전재 및 재배포 금지