생체 인식 지문 판독기가 장착된 Windows 노트북에 액세스하려면 지정된 센서에 숫자를 대는 것만으로 쉽게 액세스할 수 있으며, 이때 운영 체제에서 진입 권한을 부여합니다. 이러한 접근 방식은 어느 정도 편의성을 제공하는 것처럼 보이지만, 최근 연구에 따르면 이러한 인증 메커니즘이 잠재적인 보안 침해에 완전히 무방비 상태는 아니라고 합니다.
개인은 Windows Hello 지문 스캐너의 보안 조치를 우회하는 방법과 이러한 시도에 대해 우려해야 하는지 궁금해할 수 있습니다.
사람들이 Windows Hello 지문 스캐너를 해킹할 수 있나요?
권한이 없는 개인이 Microsoft Windows 운영 체제에서 사용하는 생체 인증 메커니즘을 우회하려면 먼저 Windows Hello 플랫폼을 극복해야 합니다. 이 특정 플랫폼은 숫자 암호, 얼굴 인식 기술 및 지문 기반 인증 절차를 포함하되 이에 국한되지 않는 다양한 형태의 식별 방법을 관리하며, 이는 Windows 운영 체제에 로그인하는 과정에서 활용됩니다.
Windows Hello의 취약점에 대한 연구의 일환으로 두 명의 화이트햇 해커인 Jesse D’Aguanno와 Timo Teräs가 자신의 웹사이트에 Blackwing HQ 보고서를 게시했습니다. 이 보고서에는 Dell Inspiron 15, Lenovo ThinkPad T14, Microsoft Surface Pro Type Cover 등 세 가지 인기 디바이스를 침해한 방법이 자세히 설명되어 있습니다.
해커가 Dell Inspiron 15에서 Windows Hello를 침해한 방법
해커는 Dell Inspiron 15를 조사한 결과 Linux를 사용하여 부팅 프로세스를 시작할 수 있다는 것을 발견했습니다. 이 대체 운영 체제에 성공적으로 로그인한 사용자는 시스템 내에서 고유한 디지털 서명을 등록하여 액세스하려는 Windows 계정의 식별 번호와 동일한 식별 번호를 할당할 수 있었습니다.
중간자 공격을 실행하기 위해 사이버 범죄자는 개인용 컴퓨터와 생체 인식 센서를 연결하는 통신 채널을 가로챕니다. 스캔한 지문에 대한 확인 프로세스를 조작하여 운영 체제(Windows)가 신뢰할 수 있는 자체 지문 저장소에 의존하지 않고 Linux 플랫폼에서 실행되는 악성 소프트웨어가 호스팅하는 사기성 데이터베이스로 의도치 않게 쿼리를 보냅니다.
Windows Hello의 보안 조치를 우회하기 위해 개인 그룹이 Linux 기반 데이터베이스에 저장된 지문 데이터를 사용하는 방법을 사용하여 시스템에 액세스하려고 시도했습니다.Linux 데이터베이스에 있는 것과 동일한 식별자를 Windows 사용자에게 할당함으로써 이 생체 정보를 사용하여 로그인 자격 증명을 인증하려고 시도할 수 있었습니다. 이 과정에서 인증 프로세스 중에 필요한 데이터 패킷을 Linux 데이터베이스로 리디렉션하는 기술을 활용하여 Windows 운영 체제에 성공적으로 진입할 수 있었습니다.
해커가 레노버 씽크패드 T14에서 윈도우 헬로를 침해한 방법
사이버 범죄자들은 레노버 씽크패드를 조사한 결과, 이 디바이스가 지문 인식을 통한 생체 인증을 위해 혁신적인 암호화 기술을 사용한다는 사실을 발견했습니다. 공격자들은 부단한 노력과 전문 지식을 통해 암호화를 해독하여 지문 인증을 관리하는 기본 보안 메커니즘에 액세스할 수 있었습니다.
이 과정을 성공적으로 완료한 사이버 범죄자들은 지문 데이터베이스를 조작하여 생체 인식 데이터를 인증된 사용자의 유효한 신분증으로 인정할 수 있었습니다. 이후에는 스캔을 통해 지문을 제출하기만 하면 레노버 씽크패드 디바이스에 진입하여 제어할 수 있었습니다.
해커들이 마이크로소프트 서피스 프로 타이핑 커버에서 윈도우 헬로를 침해한 방법
해커들은 처음에 서피스 프로를 가장 침해하기 어려운 대상으로 생각했지만, 디바이스에서 합법적인 지문 인증을 확인하기 위한 강력한 보안 프로토콜이 없다는 것을 알게 되면서 예상이 빗나갔습니다. 실제로 한 가지 방어선을 우회하여 지문 스캔이 성공적으로 실행되었다고 믿도록 Surface Pro를 속이기만 하면 시스템에 대한 자유로운 액세스를 얻을 수 있었습니다.
이러한 해킹은 어떤 의미인가요?
지문 인식 기술을 사용하여 컴퓨터 시스템에 액세스하는 것과 관련된 잠재적 위험은 다소 우려스러울 수 있지만, 이 인증 방법을 완전히 포기하기 전에 몇 가지 중요한 요소를 염두에 두는 것이 중요합니다.
공격은 숙련된 해커에 의해 수행됨
서비스형 랜섬웨어는 사이버 보안 지식이 부족한 개인도 쉽게 접근할 수 있기 때문에 막대한 위협이 됩니다. 그럼에도 불구하고 앞서 언급한 공격에서 해커가 사용한 방법은 디바이스 지문 인증 메커니즘에 대한 포괄적인 이해와 이러한 조치를 우회하는 전략 등 고도의 숙련도를 필요로 합니다.
공격자가 기기와 물리적으로 상호작용해야 함
이러한 사이버 공격이 실행되기 위해서는 공격자가 표적 기기에 직접 물리적으로 접근해야 합니다. 보고서에 따르면 해커가 연결 즉시 공격을 시작할 수 있는 USB 장치를 개발할 수도 있지만, 이러한 접근 방식은 피해자의 컴퓨터 시스템에 외부 장치를 삽입해야 하므로 무단 침입의 위험이 있습니다.
특정 디바이스에서만 작동하는 공격
각 침입은 공통의 목적을 달성하기 위해 서로 다른 경로를 거쳐야 한다는 점을 인식해야 합니다. 두 개의 디바이스가 동일하지 않으므로 한 시스템에서 효과가 입증된 익스플로잇이 다른 시스템에 적용하면 무력화될 수 있다는 점을 인식하는 것이 중요합니다. 따라서 Windows Hello가 모든 디바이스에서 침해에 노출되었다고 가정하는 것은 무리가 있으며, 이는 특정 세 가지 디바이스에서 보안 조치가 취약한 경우에만 해당됩니다.
이러한 익스플로잇은 매우 강력해 보이지만, 먼저 해당 디바이스에 물리적으로 액세스하지 않고서는 실제 시스템에서 효과적으로 실행될 가능성은 거의 없습니다. 게다가 이러한 대담한 행동은 손상된 장비의 이전 소유자에게 즉각적인 경각심을 불러일으킬 수 있습니다.
지문 해킹으로부터 안전을 지키는 방법
앞서 언급한 보안 취약점은 실행에 복잡한 문제가 있으며, 경우에 따라 무단 액세스를 얻기 위해 수동으로 개입해야 하는 경우도 있습니다. 따라서 이러한 공격의 직접적인 표적이 될 가능성은 극히 희박합니다.
불만이 지속될 경우 지문 스캐너와 관련된 잠재적 보안 침해로부터 보호하기 위한 조치를 취할 수 있습니다:
장치를 보호되지 않은 상태로 방치하지 않기
장치와 물리적 상호작용을 필요로 하는 해커의 무단 액세스 위험을 줄이려면 장치를 취급할 때 주의를 기울여야 합니다. 컴퓨터의 경우 도난이나 변조를 방지하기 위한 조치가 취해질 수 있습니다. 노트북을 사용할 때는 공공장소에 노트북을 방치해 두면 도둑이 노트북을 가져갈 수 있으므로 주의하세요. 또한 잠금식 지퍼와 강화 스트랩과 같은 보안 기능이 장착된 도난 방지 노트북 가방을 사용하면 도둑들이 소지품을 훔치려고 시도하는 것을 막을 수 있습니다.
다른 로그인 방법 사용
Windows Hello를 활용하면 다양한 수준의 보안을 제공하는 다양한 인증 방법이 지원됩니다.생체 인식 스캔에 지쳤다면 얼굴 인식, 홍채 인식, 지문 인증, 숫자 비밀번호 입력 또는 영숫자 비밀번호 인증과 같은 대체 인증 수단을 살펴보고 개인의 선호도와 보안 요구 사항에 가장 적합한 방법을 결정하는 것이 좋습니다.