PASS 팝업 알림창 무심코 쳐다보면 '덜컥' 자동 인증SKT, 3월 추가 인증 조치... KT·LGU+는 무방비 노출얼굴인증만 가능한 아이폰 이용자 노려... 보안 강화 필요
  • ▲ 애플 페이스 ID ⓒ애플
    ▲ 애플 페이스 ID ⓒ애플
    #아이폰을 사용하는 A씨는 최근 황당한 일을 겪었다. 갑작스러운 PASS 앱 알림 팝업이 왔기 때문이다. 안면인식 기능을 사용하는 터라 팝업창을 클릭하는 순간 자동으로 인증이 완료됐다는 문구가 떴다. PASS 앱으로 들어가보니 누군가가 본인 이름으로 특정 사이트 아이디를 확인한 사실을 알게됐다.

    국내 이동통신사의 '패스(PASS)' 앱 보안이 취약한 것으로 드러났다. 아이폰 화면을 들여다보면 자동 인증되는 허점을 노린 사이버 범죄가 우려된다.

    PASS는 SK텔레콤·KT·LG유플러스 등 국내 이동통신 3사가 개발한 간편인증 앱이다. 모바일 주민등록증, 운전면허증 등 각종 본인확인을 비롯해 ▲온라인 서류발급 ▲금융거래 ▲계약서 전자서명 등에 이용할 수 있다. 지난해 11월 기준 PASS 앱 이용자는 3600만명, 모바일 운전면허 확인 서비스 이용자는 470만명에 달한다.

    안드로이드 이용자들은 PASS 앱에서 이름과 전화번호를 입력하고 인증요청을 누르면 비밀번호, 지문 중 하나로 인증이 가능하다. 아이폰 이용자는 비밀번호와 안면인식 중에서 인증이 되는 구조다.

    문제는 안면인식의 경우 인증요청이 왔을 때 화면을 쳐다보기만 해도 자동으로 인증된다는 점이다. 가령 해킹범들이 타인의 이름과 전화번호를 확보, 이를 이용해 PASS 앱 인증요청을 보낼 경우 범죄에 악용될 수 있다. 아이폰 이용자들이 화면을 쳐다보는 사이 인증하게 만드는 수법이 가능한 것. 

    아이폰 이용자는 “일하고 있는데 갑자기 PASS 인증요청 알람이 왔다”며 “순간적으로 아이폰을 옆으로 확 틀어 생체인식을 막았다”고 말했다. 

    SK텔레콤은 3월 초 추가 인증 수단인 ‘패스키’를 도입했다. 아이폰 이용자가 PASS 알림 팝업창을 선택해도 인증하기 위해 별도의 비밀번호를 한번 더 입력하는 방식이다. 반면, KT·LG유플러스는 PASS 추가 인증을 도입하지 않으면서 취약점이 무방비로 노출된 상태다. 

    주무부처인 방송통신위원회도 해당 사안에 대해 인지하지 못한 것으로 밝혀졌다. 아이폰 제조사인 애플도 해당 사안에 '금시초문'이라는 반응을 보이며 “공식 입장을 밝힐 수 없다”는 입장이다.

    전문가들은 해외의 경우 생체인증 시 비밀번호를 꼭 함께 이용한다는 점을 강조하고 있다. 사실상 전 국민이 사용하는 PASS 앱인 만큼, 신속한 추가 보안 체계를 마련해야 한다는 얘기다.

    박춘식 아주대 사이버보안학과 교수는 “PASS 앱 제작사에서 당연히 (취약점)을 막아놨어야 한다”면서 “이름이나 번호 같은 개인정보는 흔하게 구할 수 있어 충분히 시도가 가능하기 때문”이라고 말했다. 

    김승주 고려대 정보보호대학원 교수는 “이런 수법은 충분히 가능하다”며 “이런 취약점이 발견되면 즉각적으로 빨리 대응해야 한다”고 조언했다.