스마트폰 잠금 해제나 은행 송금 등에 이용되는 지문인증은 2032년에는 1조원 규모 시장 가치가 있을 것으로 여겨지고 있다. 기술 보급에 따라 지문 도난에 유의해 손에 대한 자세한 사진은 나오지 않게 하는 등 조심하는 기업도 있지만 미국과 중국 공동 연구에 따르면 스와이프를 할 때 발생하는 마찰음에서 지문 정보를 재현할 수 있다는 게 밝혀졌다.
이번 연구는 콜로라도대 덴버, 칭화대, 우한대, 화중과기대 연구팀이 공동 실시한 것으로 연구팀은 사이드 채널 공격을 프린트리스트너(PrintListener)라고 명명했다. 프린트리스트너는 먼저 사용자가 스마트폰으로 스와이프 조작을 하면 이 소리를 검출, 분석해 지문 정보를 재현한다. 그러면 얻은 지문을 이용해 액세스 컨트롤을 얻고 결제를 하거나 개인 정보를 추출할 수 있다.
스마트폰을 조작했을 때의 소리는 단말 자체를 마이크에 담거나 들리는 소리로 전해진다. 획득한 소리는 먼저 노이즈와 배경음을 제거하고 스와이프 동작에서 발생한 음만을 추출하는 전처리를 실시한다. 이어 스펙트럼 분석 등을 한 뒤 지문 패턴을 검출한다. 지문 패턴을 발견해도 끝이 아니라 이 정보를 바탕으로 패턴 마스터 지문 생성이 이뤄진다.
생체인증에선 본인을 얼마나 정확하게 검출하고 승인할지 타인에 의한 시도를 검출해 시작할지가 중요해지고 있다. 연구팀에 따르면 프린트리스트너 공격으로 만들어진 패턴 마스터 지문을 이용하면 타인 수입률이 0.01%라는 보안 설정에서도 부분 지문이라면 최대 27.9%, 완전 지문에서도 최대 9.3%가 돌파 가능하다고 한다. 관련 내용은 이곳에서 확인할 수 있다.