지문-얼굴 등 생체인식 개인정보, 국내 보안업체 암호화 없이 방치 이스라엘 전문가 발견뒤에야 차단 해킹땐 정보변경 못해 피해 반복… 해당제품 적용시설 보안구멍 우려
19일 영국 가디언지와 IT업계에 따르면 이스라엘의 한 보안 전문가 그룹은 이달 5일 한국 기업 ‘슈프리마’의 개인정보 데이터 서버가 누구나 접근할 수 있도록 노출돼 있다는 점을 발견했다. 노출된 데이터는 슈프리마의 생체인증 보안 플랫폼인 ‘바이오스타’ 사용자들의 정보인 것으로 파악됐다. 지문과 얼굴 같은 생체 인식 기술에 사용되는 디지털 정보와 이미지 정보, 사용자 이름과 비밀번호, 아이디(ID), 보안 권한 등급, 집 주소, 이메일 주소 등이다. 이 시스템을 관리하는 관리자의 계정 정보도 노출됐다. 이 서버는 이스라엘 보안 그룹이 발견하고도 일주일 정도 지난 13일에야 접근 차단 조치가 이뤄졌다. 바이오스타는 2015년부터 서비스되기 시작했다.
슈프리마는 2000년 설립된 생체인증 분야 국내 대표 기업으로 꼽힌다. 지금까지 국내외 1000여 개 기업 및 기관에 제품을 공급했다. 정부청사뿐만 아니라 한국수력원자력 발전소, 해군본부, 법원 및 검찰청 등 주요 공공시설에 도입된 것으로 알려졌다. 해외에서도 싱가포르의 대형 조선소와 중동의 정유회사, 원자력발전소가 지난해 도입을 결정하기도 했다. 다만, 어느 기업 또는 기관이 바이오스타를 쓰는지는 알려지지 않았다.
생체인증 보안은 ID나 비밀번호, 출입카드 같은 일반적인 보안장치와 달리 지문이나 안면, 홍채, 정맥 등 신체의 일부로 자신을 증명하기 때문에 보안성이 높다고 평가받는다. 이 때문에 주요 기업과 공공기관 등에 점점 더 많이 도입되고 있다. 2016년 한 공무원시험 준비생이 정부서울청사에 무단 침입해 합격자 명단을 수정한 ‘공시생 침입사건’이 발생한 뒤로 정부는 주요 정부청사에 안면인식 시스템을 도입했다. 금융권에서도 현금자동입출금기(ATM)에 정맥인증 서비스를 적용하는 은행이 늘어나고 있다. 최신 스마트폰에도 생체인식시스템이 대부분 탑재돼 있다.
하지만 한번 유출되면 정보를 변경할 수 없기에 오히려 피해는 더 커진다. 오윤석 정보통신정책연구원 연구원은 “생체정보는 한번 해킹당하면 피해가 지속될 수 있다”고 말했다. 이번에 노출된 데이터도 악용될 경우 슈프리마의 해당 제품이 적용된 시설의 출입 보안이 뚫리거나 생체정보를 활용해 얻은 각종 개인정보가 악용될 수 있다는 우려가 나온다.
슈프리마는 가디언과의 인터뷰에서 “슈프리마의 제품이나 서비스에서 명백한 위협이 발견된다면 고객의 안전을 위해 즉시 행동에 나서고 고지할 것”이라고 말했다. 본보는 슈프리마 측에 전화와 문자메시지로 수차례 연락을 시도했으나 닿지 않았다.
황태호 기자 taeho@donga.com