보안 연구원 팀이 Microsoft의 생체 인식 인증 시스템인 Windows Hello에 사용되는 내장 지문 센서에서 취약점을 발견했습니다. 이를 통해 Dell Inspiron, Lenovo ThinkPad 및 Microsoft Surface Pro X 노트북의 보안 조치를 우회할 수 있습니다.
연구원들이 Windows Hello 지문 보안을 위반했습니다.
Blackwing Intelligence의 연구원들은 노트북 및 기타 장치에 널리 사용되는 ELAN, Synaptics 및 Goodix에서 만든 센서의 약점을 활용할 수 있었습니다.
연구원들은 맞춤형 Linux 기반 Raspberry Pi 4 장치를 사용하여 지문 센서와 노트북 사이의 통신을 가로채 조작하여 센서를 스푸핑하고 합법적인 사용자임을 성공적으로 인증할 수 있었습니다.
연구진의 연구 결과는 생체 인증 시스템의 취약점이 심각한 결과를 초래할 수 있으므로 제조업체가 생체 인증 시스템을 적절하게 구현하고 보호하도록 보장해야 할 필요성을 강조합니다.
Microsoft는 취약점을 인정했으며 제조업체와 협력하여 이 문제를 해결하고 있습니다. 회사는 또한 사용자가 추가 보안 계층으로 이중 인증을 활성화할 것을 권장합니다.
이중 인증을 활성화하는 것 외에도 사용자는 여러 장치에 동일한 지문을 사용하지 않고 암호화되지 않은 환경에 지문 데이터를 저장하는 등 지문을 보호하기 위한 조치를 취할 수도 있습니다.
전반적으로 연구원들의 연구 결과는 널리 사용되고 신뢰할 수 있는 시스템이라도 공격에 취약할 수 있으므로 사이버 보안 경계의 중요성을 강조합니다.
추가 주요 내용
- 기존 지문 센서보다 보안이 더 안전하다고 여겨지는 MoC(Match-on-Chip) 센서는 여전히 공격에 취약할 수 있습니다.
- 지문 센서와 노트북 사이의 통신을 보호하도록 설계된 프로토콜인 SDCP(Secure Device Connection Protocol)는 테스트된 노트북 3대 중 2대에서 활성화되지 않았습니다.
- 제조업체는 생체 인증 시스템 보안을 위해 보다 적극적인 접근 방식을 취해야 합니다.
사용자는 다음을 통해 자신을 보호할 수 있습니다.
- 이중 인증 활성화.
- 여러 장치에 동일한 지문을 사용하지 마십시오.
- 암호화되지 않은 환경에 지문 데이터를 저장하지 마세요.
- 최신 사이버 보안 위협과 취약성을 인지하고 있습니다.
이것이 당신에게 무엇을 의미합니까?
이 연구는 널리 사용되고 신뢰할 수 있는 시스템이라도 공격에 취약할 수 있다는 점을 상기시켜 줍니다. 최신 사이버 보안 위협과 취약성을 인지하고 이중 인증을 활성화하고 여러 장치에 동일한 지문을 사용하지 않는 등 자신을 보호하기 위한 조치를 취하는 것이 중요합니다.
한편, 특히 Microsoft에 대한 다른 소식을 읽고 싶다면 Microsoft Copilot Studio가 부조종사를 생성, 사용자 지정 및 구축할 것이라는 다른 기사를 확인하세요.
주요 이미지 출처: Dell/Unsplash