Vulnerabilities
야후 웹메일 취약점
IE 6.0 DoS 취약점
[HL2003-124]Microsoft Messenger 서비스 버퍼오버플로우 취약점
[HL2003-122]HP HP-UX dtprintinfo DISPLAY 환경변수 버퍼오버플로우 취약점
[HL2003-121]Sun Solaris aspppls의 임시화일 생성오류
Section Stories
머피의 법칙 그 유래를 찾아서 4부작 2편
지구상에서 가장 빠른 사나이(2편) 우리가 이제껏 알고 있는 머피에 법칙에 관한 모든 것은 잘못된 것이다. ...
얼음렌즈로 불 붙이기
호수나 샘에서 깨끗한 물을 퍼 온다. 물 속 가스가 제거되도록 약 10 분 간 끓인다. 그런 뒤 은박지 호일을 접어 약 5cm 정도 깊이의 접시를 만들어 물을 담고 천천히 얼린다. 아니면, 판매하 ...
머피의 법칙, 그 유래를 찾아서 4부작 1편
"세상에 어떻게 이럴 수가... 나는 도대체 되는 일이 하나 없는지..." 머피의 법칙이 뭔지는 알면서도 막상 그 유래에 관해서는 여러가지 설이 분분합니다. 희귀한 연구 결과를 주로 싣는 핫에어 사이트에 "머피의 ...
[2003/01/24] 생체인증시스템의 허와 실


2001년 4월 Crypto-Gram 뉴스레터에 일본의 한 암호학자가 젤라틴을 이용해 만든 가짜 손가락에 지문을 복제했다는 글이 실렸다. 그것도 첨단 테크노 기기가 아니라 우리 주변에서 흔히 구할 수 있는 것을 이용해 툴을 제작했는데 툴 제작에 든 비용은 10불 정도였다고 한다.

트릭은 간단했다. 유리잔에 묻은 지문을 채취해서 디지털 카메라로 찍은 후 포토샵으로 투명 이미지를 만들어 photo-sensitive printed-circuit board 를 사용해 투명 지문을 각인, 3차원 영상으로 만든 후 젤라틴을 입혀 가짜 손가락을 만들었다.

이렇게 만들어진 젤라틴 손가락으로 시도해본 결과 현재 시판되는 지문 감식 디바이스의 80%, 11개사가 제조한 지문 감식기를 속일 수 있었다고 한다. 영화에서나 보는 이야기들이 현실에도 등장하는 것이다.

그런지 얼마 후 보다 상세한 내용이 독일의 유명한 테크놀로지 매거진 c't 에 실렸다.

기사에 의하면 독일 정부는 바이오메트릭 제품에 대한 안전도 테스트를 진즉부터 했던 모양이다. 2000년 독일 정부는 담스타트에 위치한 프라운호퍼 연구소 합작으로 바이오메트릭 제품의 안전도 테스트를 실시했는데 제조사의 압력으로 테스트 결과는 일반에 발표되지 않았다고 한다.

그래서 c't 가 직접 테스트에 나선 모양이다. c't는 현재 시판중인 11개의 Biometric 제품을 대상으로 얼굴, 지문, 홍채인식의 안전도 테스트를 실시했다. 그리고 그 결과를 2001년 4월 21일자 기사에 대문짝만하게 대서특필했다.


c't의 테스트 결과에 의하면 대부분 디바이스들은 완벽한 보안을 보장한다는 제조사의 주장과는 달리 보안제품 이라기 보다는 어린애 장난감 수준에 불과했다고 한다. c't는 예를 들어 테스트 결과를 설명한다:

    1. 얼굴인식 디바이스
    c't는 현재 시판중인 Cognitec's FaceVACS-Logon 을 테스트 했다. 등록된 사용자의 얼굴을 찍은 비디오 클립을 노트북에 실행시켜 보여주는것만으로 쉽게 해킹이 가능했다. 디지털 카메라로 찍은 이미지 파일도 마찬가지였다.

    좀 더 높은 보안 레벨로 제조했다는 Live-Check 도 사용자가 머리를 움직이는 동영상을 보여주자 해킹이 가능했다.

    2. 지문인식
    지맨스사의 지문감식용 아이디 마우스는 센서 위에 묻은 사용자의 지문에 크게 숨을 불거나, 물을 담은 얇은 비닐백을 센서 표면에 놓는 것만으로 아주 간단히 해킹할 수 있었다.

    좀더 기술적인 방법으로 파우더로 뜬 사용자 지문을 센서 표면에 대고 가볍게 눌러주거나, 경찰이 사용하는 지문 채취기로 유리잔이나 CD에 묻은 사용자 지문을 채취한 후 디지털 카메라로 찍은 사진을 이용하거나, 녹인 양초와 실리콘으로 인조지문을 만드는 것도 포함되어 있다. 이 모든 테스트에서 지맨스사 마우스의 보안은 맥없이 무너졌다.

    테스트한 제품들 중에는 컴팩 iPAQ도 포함되어 있었다. 물론 해킹 가능했다.

    3. 홍채인식.
    테스트팀은 파나소닉의 BM-ET100 에 사용자의 눈을 찍은 홍채 이미지 파일을 노트북으로 보여주었다. 이 방법은 먹혀들지 않았다. 그러나 사용자의 눈을 디지털 카메라로 찍어 눈의 중간 홍채부분에 구멍을 뚫고 그 구멍 뒤에 아무 사람이나 눈동자를 갖다댔더니 해킹이 가능했다.

    이에 대해 파나소닉은 사용자의 홍채 이미지를 구하기가 쉽지 않기 때문에 심각한 문제가 아니라고 말했다.


c't 는 테스트 결과를 다음과 같이 요약하고 있다.

    1. 바이오메트릭 솔루션은 안전을 보증하지 못한다. 따라서 PID나 패스워드를 병행해서 사용하는 것이 바람직하다.

    2. 지문 스캐너는 사용후 반드시 닦아서 지문이 남아있지 않도록 해야한다.


c't는 이밖에도 USB 디바이스로 전송되는 바이오메트릭 데이타를 도청해 엑세스에 사용하는 방법도 테스트 중이라 한다.


c't magazine

[25] [23] [22] [21] [20] [19] [18] [17] [15] [14] [10]
F.H.Z Server 접속자
2014/04/23 09:27 PM
DRILL 23명 / IRC 6명
Errata
BBUWOO


시작하는 모든 사람들을 위한 필독서 "질문은 어떻게 하는것이 좋은가"로 "시원한데 긁어줬다", 혹은 "너 잘났다"는 등의 극에서 극을 달리는 반응으로 리눅스계에 일대 센세이션을 일으켰던 장본인, OOPS.ORG를 통해 약 1만 8천...
Book Review
Spidering Hacks


[Anonymous님 曰] 서핑만으로는 부족하다고 느껴질 때가 있는 법이다. 좋아하는 책이 판매순위 몇위인가를 체크하는 것도 지겹고, 다운로드하...
Free Hacking Zone
Copyright © 1999-2003 by (주)해커스랩
개인정보 보호 정책