보안기업 사이버아크(CyberArk)가 PIN 코드, 지문, 얼굴 인식으로 로그온할 수 있게 해주는 윈도 공식 인증 시스템인 윈도 헬로(Windows Hello)가 적외선 이미지로 돌파할 수 있다고 보고했다.
마이크로소프트 공식 발표에 따르면 윈도 헬로는 윈도 사용자 중 85%가 채택하고 있다는 점에서 가장 널리 사용되는 인증 시스템이다. 윈도 헬로 취약점을 밝힌 사이버아크는 윈도 헬로가 적외선 대응 웹캠까지 지원하고 있는 점에 주목했다. 적외선 영상의 경우 검증 과정이 부족하다는 가정에 근거해 캡처내지는 재현한 대상 얼굴 이미지 적외선 영상 버전을 인증 시스템으로 전송하는 개조 USB 카메라를 만들어 윈도 헬로 돌파에 성공했다.
개조 USB 카메라는 연결하면 미리 만들어놓은 대상 얼굴 이미지 적외선 영상 버전을 인증 시스템으로 전송해주는 구조를 취했다. 윈도 헬로 사양에 USB로 연결하면 자동으로 카메라를 인식해 인증에 사용하고 연결 후 얼굴 인증 로그인 버튼을 클릭하면 돌파에 성공한다.
Bypassing Windows Hello Without Masks or Plastic Surgery
사이버아크에 따르면 윈도 헬로는 일반 카메라를 이용한 경우에는 정지 영상을 간파하는 기능이 있지만 이 기능은 적외선 이미지의 경우에는 적용되지 않는 버그가 존재한다. 따라서 사이버아크는 윈도 헬로 얼굴 인식 기능 자체에 문제가 있다기보다 웹캠에서 데이터를 처리하는 방식에 문제가 있다고 언급하고 있다.
이 취약점에는 CVE-2021-34466이라는 식별자를 할당하고 2021년 7월 13일자 보안 업데이트로 수정됐으며 이번 사이버아크 발표는 마이크로소프트 대응을 기다린 뒤 이뤄진 것이다. 또 사이버아크는 이 기술이 실제로 사용됐다는 증거는 발견되지 않았다. 관련 내용은 이곳에서 확인할 수 있다.