해커가 지문 스캐너를 무력화시키는 5가지 방법

지문 스캐너는 해커에 대한 훌륭한 방어 수단이지만 이것이 해독될 수 없다는 의미는 아닙니다. 지문 스캔을 지원하는 장치가 급증함에 따라 해커는 이러한 방어선을 깨기 위한 기술을 개선하고 있습니다.

해커가 지문 스캐너를 "이길" 수 있는 몇 가지 방법은 다음과 같습니다.

해커는 어떻게 지문 스캐너를 "다운"할 수 있습니까?

• 1. 마스터프린트를 사용하세요
• 2. 보안되지 않은 이미지 수집
• 3. 위조지문 사용
• 4. 소프트웨어 취약점 악용
• 5. 남은 지문을 재사용하세요

1. 마스터프린트를 사용하세요

물리적 다기능 키가 모든 자물쇠를 열 수 있는 것처럼 마스터프린트도 지문 스캐너를 우회할 수 있습니다.

해커는 마스터프린트를 사용하여 스캔 기능이 좋지 않은 장치에 액세스할 수 있습니다. 신뢰할 수 있는 스캐너는 마스터프린트를 차단하지만 성능이 떨어지는 스캐너(예: 휴대폰에서 발견됨)는 매우 엄격하게 확인하지 못할 수 있습니다. 따라서 마스터프린트는 해커가 방어력이 약한 장치에 침투할 수 있는 효과적인 방법입니다.

마스터프린트 공격을 피하는 방법

이러한 유형의 공격을 피하는 가장 좋은 방법은 신뢰할 수 있는 지문 스캐너를 사용하는 것입니다. Masterprint는 신원을 확인하기 위해 덜 정확한 스캐너를 활용합니다.

지문 스캐너를 너무 신뢰하기 전에 이에 대해 조사해 보십시오. 이상적으로는 FAR(False Acceptance Rate) 통계를 찾습니다. FAR 비율은 승인되지 않은 지문이 시스템에 액세스할 수 있는 확률입니다. 이 비율이 낮을수록 사용 중인 지문 스캐너가 마스터프린트를 감지할 가능성이 높아집니다.

2. 보안되지 않은 이미지 수집

해커가 귀하의 지문 이미지를 보유하고 있다면 이는 귀하가 사용 중인 지문 스캐너에 침입할 수 있는 열쇠를 보유하고 있다는 의미입니다. 사람은 비밀번호를 변경할 수 있지만 지문은 변경할 수 없습니다. 지문은 영속성으로 인해 지문 스캐너를 우회하려는 해커에게 유용한 도구가 됩니다.

당신이 아주 유명하거나 영향력 있는 사람이 아니라면, 해커는 당신이 만진 모든 것을 쉽게 얻어 당신의 지문으로 마스터프린트를 만들 것입니다. 해커가 원시 지문 데이터가 포함되기를 바라는 장치나 스캐너를 표적으로 삼을 가능성이 높습니다.

스캐너가 귀하를 식별하려면 지문의 기본 이미지가 필요합니다. 설정하는 동안 스캐너에 지문 템플릿을 제공하면 이미지가 메모리에 저장됩니다. 그러면 스캐너는 사용자가 사용할 때마다 이 이미지를 "기억"하여 스캔한 손가락의 지문이 설정 중에 제공된 샘플 지문과 동일한지 확인합니다.

불행하게도 일부 장치나 스캐너는 이 이미지를 암호화하지 않고 저장합니다. 해커가 메모리에 접근할 수 있으면 쉽게 이미지를 촬영하고 지문 정보를 수집할 수 있습니다.

이 공격을 피하는 방법은 무엇입니까?

이러한 유형의 공격을 피하려면 사용하는 장치의 보안을 고려해야 합니다. 신뢰할 수 있는 지문 스캐너는 이미지 파일을 암호화하여 악의적인 사람이 생체 정보를 얻는 것을 방지합니다.

사용 중인 지문 스캐너가 지문 이미지를 제대로 저장하고 있는지 다시 확인하세요. 장치가 지문 이미지를 안전하게 저장하지 않는 것으로 확인되면 즉시 장치 사용을 중단해야 합니다. 해커가 복사할 수 없도록 이미지 파일을 삭제하는 것도 고려해야 합니다.

3. 위조지문 사용

해커가 보안되지 않은 지문 이미지를 얻을 수 없는 경우 대신 가짜 지문을 생성하도록 선택할 수 있습니다. 이 트릭에는 대상 지문 템플릿을 확보하고 이를 재현하여 스캐너를 무력화시키는 작업이 포함됩니다.

몇 년 전 The Guardian은 해커가 어떻게 독일 국방장관의 지문을 재현했는지에 대해 보도했습니다.

해커가 수집한 지문을 실제 지문으로 바꾸는 방법에는 여러 가지가 있습니다. 손의 왁스나 나무 모형을 만들어 특수 종이에 인쇄한 다음 은 전도성 잉크를 사용한 다음 스캐너에 사용할 수 있습니다.

이 공격을 피하는 방법은 무엇입니까?

안타깝게도 이는 직접적으로 예방할 수 없는 공격입니다. 해커가 귀하가 사용하고 있는 지문 스캐너를 손상시키려고 하고 귀하의 지문을 얻으려고 한다면 그들이 가짜 모델을 만드는 것을 막을 수 있는 방법이 없습니다.

이 공격을 물리치는 열쇠는 애초에 지문 채취를 방지하는 것입니다. 범죄자처럼 항상 장갑을 끼고 있을 필요는 없지만, 지문정보가 유출될 가능성이 있는 곳은 알아두는 것이 좋습니다. 최근에는 민감정보 데이터베이스 유출 사례가 많이 보고되고 있어 주의 깊게 살펴 볼 필요가 있습니다.

신뢰할 수 있는 장치 및 서비스에만 지문 정보를 제공하십시오. 보안 수준이 낮은 서비스에 데이터베이스 침해가 발생하고 지문 이미지를 암호화하지 않는 경우 해커는 이를 이용하여 귀하가 사용 중인 지문 스캐너를 공격할 것입니다.

4. 소프트웨어 취약점 악용

일부 비밀번호 관리자는 지문 스캔을 사용하여 사용자를 식별합니다. 이는 비밀번호를 안전하게 유지하는 데 매우 유용하지만 효율성은 비밀번호 관리 소프트웨어의 보안 수준에 따라 달라집니다. 프로그램이 공격 방어에 효과적이지 않은 경우 해커는 이 취약점을 악용하여 지문 정보를 얻을 수 있습니다.

이 문제는 공항 보안을 업그레이드하는 것과 유사합니다. 금속탐지기와 보안요원, 카메라 등이 곳곳에 배치돼 공항 구석구석을 감시하고 있다. 그러나 나쁜 놈들이 몰래 들어올 수 있도록 오랫동안 잊혀진 "백도어"가 있다면, 그 모든 추가 보안 조치는 아무 소용이 없을 것입니다!

최근 Gizmodo.com에서는 지문 인식 비밀번호 관리자에 하드코딩된 비밀번호(소스 코드 내부에 있는 일반 텍스트 비밀번호)가 있는 Lenovo 장치의 취약점을 보고했습니다. 해커가 비밀번호 관리자에 액세스하려는 경우 하드코딩된 비밀번호로 지문 스캐너를 우회하여 스캐너를 쓸모없게 만들 수 있습니다!

이 공격을 피하는 방법은 무엇입니까?

일반적으로 이러한 유형의 공격을 피하는 가장 좋은 방법은 인기가 있고 사용자로부터 긍정적인 리뷰가 많은 제품을 구입하는 것입니다. 예외도 있지만(예를 들어 위에서 언급한 것처럼 Lenovo와 같은 유명 기업도 공격을 받았습니다).

따라서 평판이 좋은 브랜드에서 만든 하드웨어만 사용하더라도 나중에 발견되는 문제를 해결하려면 보안 소프트웨어를 최신 상태로 유지하는 것이 여전히 중요합니다.

5. 남은 지문을 재사용하세요

때로는 해커가 지문을 얻기 위해 고급 기술을 전혀 사용할 필요가 없는 경우도 있습니다. 그들은 단순히 이전 지문 스캔의 남은 부분을 사용하여 보안 계층을 우회합니다.

물건을 사용할 때 물건에 지문이 남게 되며, 지문 스캐너도 예외는 아닙니다. 스캐너에서 수집된 모든 샘플은 잠금 해제 지문 샘플과 거의 일치하는 것이 보장됩니다. 이 상황은 문을 연 후 자물쇠에 열쇠를 넣어 두는 것과 같습니다.

그렇더라도 해커는 스캐너에서 지문 템플릿을 복사할 필요가 없을 수도 있습니다. 스마트폰은 손가락에 빛을 비추고 빛이 어떻게 센서에 반사되는지 기록하여 지문을 감지합니다. Threatpost.com은 해커가 어떻게 이 스캐닝 방법을 속여 남은 지문을 받아들일 수 있었는지 보고했습니다.

Yang Yu 연구원은 스캐너에 반투명 반사 표면을 배치하여 스마트폰 지문 스캐너를 속여 잔여 지문 스캔을 허용하도록 했습니다. 반사 표면은 스캐너가 남은 지문이 실제 손가락이라고 믿도록 속여 전화기에 액세스할 수 있도록 합니다.

이 공격을 피하는 방법은 무엇입니까?

이런 공격을 피하는 방법은 매우 간단하다. 지문을 스캔한 후 기기 표면을 닦아주세요! 스캐너는 사용한 후에도 지문을 유지하므로 안전을 유지하는 가장 좋은 방법은 깨끗하게 닦는 것입니다. 그렇게 하면 해커가 귀하가 소유한 장치를 귀하에게 사용하는 것을 방지할 수 있습니다.

지문 스캐너는 유용한 도구이지만 완전히 안전하지는 않습니다! 지문 스캐너를 사용하는 경우 안전 조치를 취하십시오. 지문은 사용하는 모든 스캐너의 핵심이므로 생체 인식 데이터에 매우 주의해야 합니다.

자신에게 맞는 솔루션을 찾으시길 바랍니다!