뉴스) 인터넷 생체정보 해커의 표적이 된다우~

2023년 글로벌 인터넷 보안업체 NordVPN는 다크 웹 포럼에서 81,000개의 지문을 발견했다고 경고한 바 있습니다.

해당 정보는 휴대전화를 이용한 유출로, 악성 코드에 감염된 앱이 스마트 기기에 저장된 생체 인식 데이터의 접근 권한을 받으면 악성 코드를 해커들은 생체 인증 정보를 취득할 수 있게 됩니다. 심지어 신뢰할 수 있는 앱이라도 앱 공급업체의 클라우드 서버에 저장되거나 데이터 전송 중에 해커들이 데이터를 가로챌 수 있죠.

사실상 인터넷에 기록된 모든 데이터는 해킹 위험에 노출되어 있다고 봐도 됩니다. 사이버 범죄자에게 생체 인식 정보는 신원 도용의 흔한 수단이 되어가고 있었는데, 활발한 소셜 미디어 사용과 딥페이크 기술이 발전하면서 생체 인식 데이터 도난, 그리고 활용이 더욱 쉬워지면서 문제가 더욱 커지게 된 거죠. 생성형 AI와 결합되면 이런 생체 인증 정보는 더욱 위험한 무기가 될 수 있습니다.

한 사이버 공격자가 엘살바도르 국민 500만 명 이상의 개인 식별 정보를 다크웹을 통해 유출시켰다. 이는 엘살바도르 전체 인구의 80%에 해당하는 수치다. 해커는 다크웹에서 CiberinteligenciaSV라는 이름으로 활동을 하고 있던 자이며, 이번에 공개된 데이터는 144GB에 달한다. 고화질 사진만 5,129,518장이 포함되어 있으며, 각 사진에는 엘살바도르 주민 등록 번호까지 첨부되어 있었다.

사진과 함께 공개된 거대 데이터베이스에는 각 사람의 이름과 생년월일, 전화번호, 이메일 주소, 거주지 주소도 저장되어 있었다. 더 치명적인 건, 거기에 생체 인증 정보도 같이 들어있었다는 것이다. 얼굴 인식을 위한 자료들이 개인별로 정리되어 있었고, 각 자료들에 개인을 식별하기에 충분한 정보까지도 알맞게 첨부되어 있었다. 누구라도 마음만 먹으면 이 정보를 가지고 개인을 특정해 접근할 수 있다.

정보를 불법적으로 탈취해 돈으로 전환시키는 사이버 공격자들은 현재 생체 인증에 큰 관심을 갖고 있다. 이번 엘살바도르 국민 해킹 사건도 그러한 맥락에서 이해할 수 있다. 생체 측정 데이터는 비밀번호와 핀 코드와 달리 변경시킬 수 없기 때문에 공격자에게 특히 가치가 높다. 보안 회사 노드VPN(NordVPN)이 이전에 언급했듯이 “지문이나 얼굴과 같은 생체 측정은 변하지 않으므로 공격 시에는 신원이 영원히 위험에 노출될 수 있”는 것이다.

폭스뉴스의 보도에 따르면, 일리노이 주의 한 여성이 대형 소매업체 타깃(Target)에 대해 제기한 최근의 집단 소송은 생체 측정 데이터 수집을 둘러싼 불신 분위기의 증가를 보여준다고 한다. 원고는 "타깃이 법률을 위반하여 그녀의 동의 없이 얼굴과 지문 스캔을 수집하고 저장했다"고 지적했다.