지난 17일 현대자동차는 지문을 이용해 차문을 열고 시동도 걸 수 있는 '스마트 지문인증 출입·시동 시스템'을 세계 최초로 개발했다고 밝혔다. 이 시스템은 내년 1분기 중국에서 출시될 신형 산타페 '셩다'에 우선 탑재될 예정이다.

현대자동차의 지문인식 차량 소식은 보안쟁이로서 꽤나 흥미로운 이야기이였다. 그래서 오늘 [보안쟁이가 들려주는 영화속 보안이야기]는 지난 8월에 개봉했던 <나를 차버린 스파이>를 통해 지문인식에 대한 이야기를 좀 다뤄 보려한다. 

007시리즈의 대표작 <나를 사랑한 스파이>의 제목을 패러디한 <나를 차버린 스파이>의 제목은 그 이름에서 부터 코믹 첩보물임을 대놓고 드러내고 있다. 영화는 제목 처럼 생일날 자신을 문자 몇 글자로 차버린 스파이 남친 때문에 시작된다.

이제 막 서른살이 오드리. 그녀는 생일날 문자로 차인 것도 황당한데, 자신이 1년간 사귄 남자 드류가 알고보니 CIA 소속의 스파이였단 충격적인 사실까지 알게 된다. 근데 이 남친이란 인간은 생일날 차버린것도 모자라 갑자기 집에 나타나더니 오드리에게 미션을 남기고 총 맞아 죽어버리기까지 한다. 얼떨결에 현장에 있던 친구 모건까지 엮이게 된다. 두 여자는 드류가 남긴 미션을 완수하러 유럽으로 향하며 험난한 스파이에 세계로 뛰어든다.
    
<나를 차버린 스파이>는 스토리와 짜임새에 전혀 관심 없다. 영화는 개연성을 일찌감치 달나라로 보내버리고 시작한다. 대신 영화는 장르와 캐릭터에 집중하며 코믹, 첩보, 액션 그리고 약간의 로맨스와 여성들의 우정이야기 등을 펼쳐보이고 있다.

영화의 몇몇 슬랩스틱 장면이 웃음을 만들어내긴 하지만 주로 케이트 맥키넌이 구사하는 유머는 애석하게도 미국식 유머와 코드가 잘 맞아야만 효과를 낼 수 있는 수준이다. 첩보 측면에서도 장르에 기대할 만한 기발한 아이템이나 훌륭한 반전도 없다. 영화의 주제이기도 한 두 여성의 우정이야기와 약간의 로맨스도 기시감이 가득하다. 그나마 두 남성 배우들이 선보이는 액션 시퀀스와 오스트리아를 배경으로 펼쳐지는 카체이싱 장면들이 익숙하긴 해도 액션장르에 기대할 만한 수준을 보여준다.
   
영화는 전체적으로 그저그런 팝콘 무비의 가벼움으로 채워진 작품이다. 북미에서도 호평을 얻지 못했다. 순 제작비 4000만 달러가 투여된 이 작품은 북미 시장 3300만 달러를 포함 전 세계 7500만 달러를 조금 넘기며 흥행에 실패하고 말았다. 

그래도 스파이물 답게 보안쟁이의 시선을 잡는 장면이 두 개 있다. 하나는 실제 NSA요원이자 CIA요원이었던 실존인물의 등장이며, 다른 하나는 죽은 적의 아이폰을 사용하기 위해 시체의 손가락을 절단해서 가지고 다니는 장면이다.
 
일단 전직 정보기관요원에 대해에 이야기 해보자. 오드리와 모건은 자신들이 확보 한 USB 속 파일이 미 정부가 만든 것이며, 정보기관이 사용하는 암호화 코드로 잠겨 있다는 걸 알게 된다. 이에 모건은 전직 정보기관 소속이었던 옛 남친에게 전화해 암호를 해제하고 파일을 열람하는 데 성공한다. 통화 끝에 모건이 구 남친에게 "나중에 LA에 오면 연락하라"고 말하지만, 구 남친은 난색을 표하며 "그건 어렵다"고 답한다. 그도 그럴 것이 그가 바로 2013년 전 세계를 떠들썩하게 만들었던 '에드워드 스노든'이기 때문이다.
 
에드워드 스노든은 실제 NAS와 CIA에서 근무했던 인물이다. 그는 2013년 8월 홍콩에서 미 정보기관이 프리즘이란 프로그램을 통해 민간인 사찰과 불법적인 정보수집을 자행했음을 영국 가디언을 통해 폭로했다. 당연히 그는 미 정부의 체포대상 1호가 되었다. 당시 20여 개 국가가 그의 망명을 거절했는데, 그의 망명을 받아준 건 다름 아닌 러시아였다. 

당시 러시아가 스노든의 망명을 수용하면서 모스크바를 방문 예정이었던 오바마 대통령이 일정을 취소하기도 했었다. 그렇게 스노든의 러시아 망명은 미-러간의 관계악화를 불러 일으키기도 했다. 2013년 러시아는 스노든에게 1년간 망명을 허용했는데, 현재는 2020년 8월까지 망명허용기간을 연장해준 상태이다. 그런 그가 LA로 향하는 건 감옥으로 가겠다는 것과 동일한 이야기인 셈이다.

이런 스노든의 등장이 다소 뜬금없어 보일 수 있지만, 영화 속 상황을 뜯어보면 그렇지 않다. 일단 영화에서 주인공들은 미국 정보기관 내부의 부정 행위자들과 싸운다. 스노든이 미국 정부기관의 부정을 폭로했다는 점을 상기하면 꽤 연결되는 부분이 있다. 또한 영화 속에 스노든의 도움으로 열람한 파일은 범죄 조직의 범죄 계획이 아니라 전 세계 인터넷에 접속할 수 있는 프로그램으로 이는 2013년 스노든이 폭로했던 '프리즘'과 유사한 감시 프로그램이다. 감독은 그의 등장에 단순한 흥미거리가 아닌 상징을 담은 것으로 보인다. 
    
스노든 이야기는 이쯤 하고, 이제 본론으로 넘어가보자. 이 영화에서 보안쟁이의 시선을 사로 잡은 장면은 영화에서 가장 터무니 없고 엽기적인 장면이다.
 
영화 후반 미션(?) 완수를 위해 오드리는 허망하게 죽어버린 적의 스마트폰을 계속 사용해야 하는 상황에 봉착한다. 그런데 적의 스마트폰의 잠금해제 방식은 다름아닌 지문인식이었다. 처음에는 시체의 손가락을 빌려 스마트폰의 잠금을 해제하던 오드리는 귀찮은 나머지 아예 그 시체의 손가락를 잘라 스마트폰 잠금해제용으로 휴대하고 다닌다.
 
이 황당한 장면은 어이 없게 느껴진다. 우선 처음 해제했을 때 스마트폰의 잠금기능을 완전히 해제하면 될 일인데, 시체의 손가락까지 잘라 휴대하고 다니고 있는 모습은 답답하다. 더군다나 이 장면에는 그냥 지나칠 수 없는 '옥에 티'가 있다. 영화 속 장면과 달리 죽은 사람의 지문으론 스마트폰의 잠금을 해제할 수 없기 때문이다.
 
사람의 지문은 기본적으로 모두 다르고 상처가 나지 않는 한 평생 변하지 않는다. 어떤 두 사람의 지문이 우연히 같을 확률은 약 870억분의 1에 불과하고, 일란성 쌍둥이조차 서로 다른 지문을 가지고 태어난다. 이 때문에 지문인식은 가장 흔하고 오래된 생체 인식방법으로 쓰이고 있다.
 
스마트폰에 지문인식이 처음 적용된 것은 2011년이다. 모토로라가 아트릭스를 통해 처음 선보였고, 2013년 애플이 2014년에는 삼성이 지문인식이 적용된 모델을 내놓으면서 이제는 스마트폰에선 보편화된 인증방식이 되었다.
 
이런 스마트폰의 지문인식 방법은 주로 전기장 반응 방식을 사용하고 있다. 당연히 시체는 전기가 통하지 않기 때문에 반응하지 않는다. 실제로 올해 4월 미국 플로리다에서 죽은 범죄자 아이폰의 잠금을 해제하기 위해 두 경관이 그 사람의 장례식에 찾아가 시체의 지문으로 해제를 시도한 적이 있었다. 당연히 경찰은 잠금해제에 실패했다. 범인의 핸드폰에서 범죄 단서를 찾기 위해 했던 이 행동은 약혼자의 비난을 사며 논란거리로 번지기도 했다. 그렇다면 죽은 사람의 스마트폰의 지문인증 방식은 안전한 걸까? 애석하게도 그렇지가 않다.
 
고무찰흙과 실리콘 지문 등으로 스마트폰의 잠금을 해제하는 방법은 이미 쉽게 찾아볼 수 있다. 또한 지난 10월에는 과학기술정보통신부 국정감사장에서 송희경 의원이 복제한 실리콘지문을 통해 스마트폰 생체인증 보안은 물론 카드사 애플리케이션 결제 시스템까지 순식간에 뚫는 시연을 직접 선보이기도 했다. 그러면서 그녀는 "혈류 등 생체를 감지할 수 있는 것들을 복합적으로 개발하거나 전자신분증을 만들어야 한다"고 주장했다.
 
스마트폰의 지문인식은 실리콘에 대한 문제만 노출한 것이 아니다. 지문의 부분 인식에 대한 문제도 드러났다. 2017년 4월 미국 뉴욕대 나시르 교수팀은 8200개 지문을 분석했고 그 지문들의 공통 패턴을 골라내서 '마스터 지문'을 만들었다. 연구팀은 이 마스터지문으로 여러 종류 스마트폰 인증을 성공했는데, 5회 시도 시 성공률이 자그마치 26~60%였다. 

이게 가능했던 이유는 스마트폰의 지문인식 방법이 전체가 아닌 부분인식 방식을 사용하고 있기 때문이다. 스마트폰에 장착된 지문 스캐너는 사용자의 지문 전체를 스캔할 만큼 크지 않다. 따라서 스마트폰은 지문을 부분적으로만 저장하고 있다. 여기에 인증성공율을 높이기 위해 한 개의 지문이 아닌 여러 개의 지문을 등록할 수 있게 허용하고 있어 여러 부분적인 지문 정보와 일정 수준 이상 일치하면 인증이 되기 때문에 마스터 지문을 통한 인증이 가능한 것이다.

죽은 사람의 지문은 인식이 안 되는데, 왜 실리콘은 인식되는 걸까? 그건 시연에 사용된 실리콘이 전류가 흐르는 도전성 실리콘이기 때문이다.
 
지문인식은 이러한 문제 노출에도 불구하고 스마트폰 잠금해제뿐만 아니라 어플리케이션 로그인, 모바일 뱅킹 그리고 최근 삼성페이 등 결제 인증에도 활용되고 있다. 더군다나 생체 인식 방법들은 패스워드와 달리 그 정보가 노출되면 대응하기 어렵다는 치명적인 약점을 지니고 있음에도 말이다.   
    
그런데 흥미롭게도 현대자동차 측은 이번 지문인식 시스템에 실리콘이나 테이프를 통한 2차원 위조지문에 따른 인증을 방지하는 기능이 있다고 덧붙였다. 결국 현재 스마트폰에 쓰이고 있는 지문인식 방식보다 진일보했다는 얘기다. 보안이 시급한 스마트폰도 빨리 노출된 약점을 보완해 새로운 지문인증기능을 내놔야 할 것이다.