주의. 사건·사고 관련 내용을 설명합니다.
이 문서는 실제로 일어난 사건·사고의 자세한 내용과 설명을 포함하고 있습니다.
이 문서는 실제로 일어난 사건·사고의 자세한 내용과 설명을 포함하고 있습니다.
1. 개요
2019년 4분기에 제기된 문제로, 당해 출시된 삼성전자 스마트폰 중 디스플레이 내장 지문인식 잠금해제를 채택한 제품에 한정, 화면 위에 특정 실리콘 케이스를 두고 그 위로 지문인식을 하면 등록된 지문이 아닐지라도 잠금이 풀려버리는 현상이다.기사2. 상세
eBay에서 구입한 실리콘 케이스를 올려놓은 후, 지문인식등록을 하지 않은 손가락 뿐만 아니라 그 어떤 부위로도 지문인식이 성공한다는 기사가 떴다. 심지어는 고구마로도 지문인식이 뚫리는 상황이라고 한다. # 2019년 10월 영국의 한 사용자는 본인 어머니의 갤럭시 S10에서 문제 증상을 발견 후 삼성 측에 전화를 했으며 서비스 기사는 확실히 지문인식에 취약점이 있다고 인정했다. 즉, 제 3자가 갤럭시 S10을 습득할 경우 삼성페이 등 금융거래와 관련된 행위를 할 수 있다는 것이다#수 많은 커뮤니티에서도 이를 확인하는 게시글이 나오고 있는 상황이며#, 심지어 9월에 이미 제보를 했지만 그렇게 사용하지 말라고 답변을 받았다는 게시글이 알려지며 논란이 증폭되었다.
최초 제보자는 악의적인 소문이 나오자 오해하지 말라 해명했고 글도 수정했으나, 미니기기코리아 사이트 자체가 그리 유명한 사이트가 아니라서 묻혀버렸다. 포보스 기사는 10월 16일에 업로드 되었지만, 작성자는 그 전에 답변이 온 것을 인증하면서 오해하지 말라 밝혔지만 소문이 악의적으로 나 버린 케이스가 되었다.
(참조 : https://meeco.kr/Monthly/25753542)
그러나 꼭 소문이 악의적이었다고 말하기도 힘들다. 일단 과거 갤럭시 노트7 폭발 사고 때도 국내에서 이슈를 제기하던 사람들은 블랙컨슈머로 몰아가다가 해외에서 이슈가 터지고서야 부랴부랴 사과와 대응을 했던 전력이 있다. 또 이후 대응 또한 전체적으로 이슈에 비해 미적지근 했는데, 삼성 측은 내부적인 조사 중에 있다고 밝혔으며, 삼성전자 공식 인증을 받은 악세사리만 사용할 것을 당부했다.# 그러나 공식 인증을 받은 악세사리만 사용한다고 보안 문제가 해결되는 것이 아니므로,[1] 이는 사용자에게 책임을 전가하는 무책임한 답변이었고 당연히 삼성이 이 문제를 크게 받아들이고 있지 않다는 말이 퍼질 수 밖에 없었다. 명확히 문제가 확인됐고, 악용 가능성이 큰데다가, 보안 프리패스라는 상당히 심각한 문제였기 때문에 최소한 문제를 보고 받고 공론화 되기 전에 선제 대응을 했어야 한다. 그러나 공론화 전까진 초기 대응도 없었고 이후 대처 또한 워낙 느긋했기에 삼성이 문제를 가볍게 보고 있었다는 말이 틀린게 아니다. 오히려 알려진 악용 사례가 없다는게 삼성 측에는 더 기적적인 행운이다.
처음부터 해봐도 모든 지문이 다 뚫리는 증상을 재현한 트윗을 보면 알겠지만 문제 발생 자체도 명확하고 심지어 아무 지식이 없는 일반인조차 따라하기 너무 쉬웠다. 이러한 사태가 벌어지게 된 이유는 다음과 같이 추정된다. 갤럭시 S10과 갤럭시 S10+ 출시 당시 광학식보다 더 나은 지문 인식률을 제공한다고 홍보했던 초음파식 지문인식이 낮은 인식률로 불만이 많았기에, 삼성전자는 19년 4월 펌웨어 업데이트로 통해 인식률을 개선했다. 원래 생체 인식은 기술적으로 100%의 정확성을 요구할 수가 없다. 왜냐하면 사람의 신체는 매일매일 조금씩 변하고, 심지어 그날 그날 컨디션에 따라서도 조금씩 모습 등이 변하기 때문이다. 전날 잠을 못자서 얼굴이 퉁퉁 부어도 안면인식이 되는 이유가 생체 인식이 100%가 아닌 그보다 낮은 정도의 데이터 정확성을 요구하기 때문이다. 즉 생체인식의 핵심은 지금 들어온 데이터가 몇 퍼센트나 등록된 것과 일치해야 인증된 사용자로 볼 것인가이다. 삼성이 인식성능이 개선된 지문센서로 리콜해 준 것이 아니기 때문에 하드웨어 자체의 낮은 수준의 인식률은 어떻게 할 수가 없다. 따라서 위의 패치는 '더 정확하게 지문을 인식'하는 것이 아닌[2] '등록된 지문과의 일치도가 낮더라도 인증을 해주고 넘어가는' 식의, 다시 말해 기준 퍼센테이지를 낮추는 패치였을 것이다.[3] 이로 인해 지문인식의 인식률은 올라갔으나 정확도는 처참하게 떨어졌고, 결국 실리콘 케이스 하나가 마스터키가 되어 모든 보안이 뚫리게 된 것으로 보인다. 이 때문에 화면내장 초음파식이 아닌 기존의 일렬 열도센서식을 사용한 S10e는 해당 사항이 없다.
생체 보안 인증의 의미가 없어지는 대형 사고이며, 이 문제가 이슈화된 당일 은행들은 긴급 공지로 갤럭시 S10 시리즈와 노트10 시리즈 사용자들에게 즉시 지문인식을 해제할 것을 권고했다. 잠금 해제와 카카오톡 등의 앱 잠금 뿐만 아니라 삼성 페이를 비롯한 각종 금융, 결제 서비스들도 지문인식을 인증 시스템으로 이용하고 있는 만큼, 자칫하면 치명적인 문제로 이어질 수 있는 인증 시스템이 싸구려 실리콘 케이스로 붕괴되어 무력화되었기 때문에 무슨 우려도 이상하지 않다. 당장 훔치거나 주운 S10과 싸구려 실리콘 케이스 하나만 있으면 생판 남이 몇 백만원 어치의 결제를 해버린다던가, 신상을 깔끔하게 털어갈 수 있다.
이 논란이 공론화된 후 카카오뱅크를 포함한 금융사들은 문제가 해결될 때까지 지문인증을 끄고 패턴과 인증 비밀번호 사용을 권고하는 공지를 올렸고, 농협은 해당 기종들의 지문인식 인증을 앱 내에서 아예 차단하는 조치를 취했다. 또한 금융감독원도 이 문제로 실제 피해 사례가 있을 것을 대비해 예의주시하며 모니터링 중이라 한다. #
2019년 10월 18일, 삼성전자는 자사 뉴스룸을 통해 이와 관련해 "전면 커버를 사용하시는 경우 일부 커버의 돌기패턴이 지문으로 인식되어 잠금이 풀리는 오류"이며, "혹시 발생할 수 있는 지문인식 오류를 방지하기 위해 전면부 실리콘 커버를 사용하시는 고객분들께서는 전면 커버를 제거하신 후 신규로 지문을 등록해 주시고, S/W 업데이트 전까지는 전면커버를 사용하지 말아달라"고 당부하였다. 또한 해당 기종에 대해서는 10월 넷째 주 초에 소프트웨어 업데이트를 통해 문제를 보완할 예정이라고 덧붙였다. #
그러나 당장 이를 수정하거나 지문 인식 기능을 비활성화 해도 모자를 판에 2주일 동안 이를 방치해서 이것도 비판의 대상이 되었다. 참고로 지문인식으로 문제가 발생하더라도 삼성은 전혀 책임을 지지 않을 것이 자명하고 실질적으로 배상은 불가능하니 유저가 알아서 몸을 사려야 한다.
광학 방식 지문인식 센서를 내장한 갤럭시 탭 S6에서도 동일한 증상이 발견되었다고 한다.#
불행 중 다행으로 삼성전자를 제외한 다른 제조사는 문제가 없다고 한다. 만약 다른 제조사까지 문제가 생겼다면 디스플레이 내장형 지문인식 자체의 신뢰도는 엄청나게 하락했을 것으로 보인다. 이와 별개로 삼성의 SW 설계 능력에 대해 비판하는 목소리도 커지고 있다.
2019년 10월 22일, 중국의 대형은행인 중국은행이 문제 기종인 갤럭시 S10, 갤럭시 노트10과 태블릿 PC인 탭 S6의 지문 인식이 뚫린 문제로 최근 이들 3개 기종의 모바일뱅킹에서 지문 로그인 기능을 잠정적으로 막았다.
2019년 10월 23일 지문인식 긴급 패치가 실시되었다. 지문인식이 등록된 상태에서 업데이트 알림이 뜨기 때문에 기존에 지문을 등록했던 사용자들은 미리 지문인식을 재등록하길 바란다.
- [ 삼성 멤버스 공지 사진 펼치기 / 접기 ]
- ||<width=190>
||
그러나 본인들이 24시간 내에 순차적으로 업데이트를 보내주겠다고 했음에도 불구하고 며칠이 지난 시점에서도 업데이트를 못 받은 사람들이 있었기에 다시 한 번 고객의 신뢰를 땅바닥에 버렸다. 업데이트가 순차적으로 진행된다고 했으면 될 것을, 누가 시키지도 않았는데 굳이 본인들이 24시간이라고 해 놓고서는, 며칠이 지나서도 업데이트 실행이 안 되는 것은 욕을 바가지로 먹어야 하는 일이다. 업데이트가 밀리면서 해당 서버가 터진 것으로 예상되는데, 복구하면서 로직이 꼬였는지 두 주가 훨씬 넘어서도 업데이트를 못 받은 사람도 있었으며, 한달 쯤 후에야 대략 해결이 됐던 것으로 보인다. 심지어 고객센터에 연락하라고 해놓고는 정작 그 고객센터는 지시사항 전달도 제대로 안 됐는지 해당 내용으로 문의해도 직원이 아예 이슈가 있었다는 것 조차도 몰랐다는 경험담도 올라오고 있다. 혹시 아직까지도 한 번도 지문인식 재등록을 한 기억이 없다면 꼭 다시 한 번 하는 것을 추천한다.
패치가 배포됐지만 이후에도 아직 은행권에선 우려가 되는지 몇몇 은행은 지문인증을 안 풀어주거나 삼성 시스템을 막고 아예 자사 시스템으로 통합해버렸다.[4] 해외 쪽에서는 더 심한지 신규로 삼성 지문인식을 막아버리거나 블랙리스트에 등록한 곳이 꽤 되는 모양. 사실 보안의 의미를 없애버리는 대형 사고라 삼성이 꽉 잡고 있는 국내도 아닌데 해외 은행들이 이 정도로 미적지근하게 나오는 이유를 모르겠다는 사람도 많다.
3. 발생 기종
[1] S10을 훔치고 해당 실리콘 케이스를 사용해서 풀어버리는 식으로 활용할 수 있으므로 별 의미없는 답변이다.[2] 이건 하드웨어의 영역이라서 물리적인 수리나 개선이 필요하다.[3] 또한 이러한 패치 알고리즘이 뒤이어 출시된 갤럭시 A 시리즈와 갤럭시 노트 10 & 10+에도 적용되었을 것이다.[4] 예를 들어 한국씨티은행은 기존의 삼성 패스를 없애버리고 씨티 지문 로그인으로 시스템을 통합했다.[5] 갤럭시 S10 시리즈 중 유일하게 갤럭시 S10e만 예외가 되었다. 이는 원가절감을 위해 초음파 방식이 아닌 에어리어(열센서) 방식을 탑재했기 때문이다. 에어리어 방식이 초음파 방식보다 비교적 안정된 기술이기도 했고 인식 시스템이 판이하게 달라서 대규모 지문인식 오작동 사태로부터 비교적 자유로웠다. 예를 들어, 에어리어 방식은 적어도 실리콘에 찍힌 지문은 커녕 고구마나 발가락을 손가락 지문으로 인식하지는 않는다.