해외 IT매체 테크크런치가 애플의 아이폰5s의 지문인증 시스템 ‘터치ID’에 대한 상세 사항이 담긴 애플 iOS 보안문서 내용을 공개했다.
공개한 문서에 따르면 ‘터치ID’는 씨큐어 엔클레이브(Secure Enclave)란 기술을 사용한다. 이는 애플 아이폰5s에 탑재된 A7 프로세서 내부 코 프로세서를 통해 터치ID로 읽은 지문을 사용자가 저장한 지문과 대조하는 작업을 수행한다.
등록된 하나의 지문이 다른 사람의 지문과 일치할 가능성은 5만분의 1의 확률이라고 한다. 애플은 씨큐어 엔클레이브의 시스템이 암호화된 메모리와 하드웨어 난수 생성기를 이용해 지문 데이터를 별도로 보관하며 개인정보를 안전하게 다루고 있다고 설명했다.
각각의 씨큐어 인클레이브는 고유한 아이디(UID)를 제공받는다. 씨큐어 인클레이브 외 다른 시스템은 이에 접근할 수 없다. 기기가 켜지면 단기간 동안만 유지되는 키가 생성되고 UID와 한데 뒤엉켜 씨큐어 엔클레이브에 주어진 메모리 공간을 암호화하는데 사용된다. 씨큐어 엔클레이브를 통해 파일 시스템에 저장된 데이터는 기기가 켜질 때 생성되는 키와 UID에다 재실행방지 카운터까지 더해져 암호화되어 보호된다.
A7 프로세서와 터치ID 센서는 일련의 주변장치 인터페이스 버스를 통해 의사소통을 한다. A7은 씨큐어 엔클레이브에 데이터를 전달만 할뿐 읽지는 못한다. 지문 정보는 세션 키로 암호화되고 인증이 되는데 터치ID 센서와 씨큐어 엔클레이브에 내장된 공유 키를 사용해 교환된다. 세션 키 교환에 있어서는 랜덤 키를 제공해 세션 키를 설정하고 ‘AES-CCM’ 전송 암호화에는 AES키가 사용된다.
▲ 아이폰5s 지문인증 기능 '터치ID' 설명 이미지 (출처=애플)
아이폰5s 사용자들은 이미 알고 있겠지만 터치ID 대신 암호를 입력해야만 하는 경우가 있다. 애플 문서에는 어떨 때 지문인증 대신 암호를 입력해야 하는지 적혀있다.
- 아이폰5s가 켜지거나 재 시작 됐을 때
- 아이폰5s가 48시간 이상 잠기지 않았을 때
- 지문인식으로 잠금 상태 해지하는데 5회이상 실패 했을 때
- 터치ID에 새로운 지문을 설정하거나 등록할 때
- 아이폰5s가 원격 잠금 명령을 받았을 때
삼성은 갤럭시S5에 자체 지문인식기를 탑재하고 개발자들의 접근을 허용했다. 이에 따라 애플이 iOS 앱 개발자들에게 터치ID를 사용할 수 있도록 허가할지 향후 움직임이 주목된다.
한편, 애플은 최근 아이폰 최신 운영체제 iOS7에서 심각한 보안 결함 사항이 발견돼 홍역을 치르고 있다. 보안 결함은 우리가 웹 페이지를 볼때 제 3자가 이를 옅볼수 있는 가능성이 있다는 것으로 SSL/TLS 프로토콜에 관한 것이었다.
애플은 이 문제를 7.0.6 업데이트를 통해 수정했으나, 불량 앱을 통해 아이폰 원격조작이 가능하다는 문제까지 터지는 바람에 또 다시 업데이트 파일을 배포해 이 문제를 수정할 것으로 보인다.
민정기 인턴기자