얀 크리슬러와 율리안 알브레히트는 전 세계 정맥인식시스템시장의 95%를 차지하는 히타치와 후지쯔의 손등정맥인식 시스템을 해킹했다. 가짜 밀납으로 손등정맥인식시스템이 뚫리는 모습은 독일 ‘연례 카오스 통신 콩그레스’에서 시연됐다.
지문 자국은 종종 만지는 것만으로 표면에 남아있을 수 있지만, 정맥 패턴인식 방식의 보안인증은 그렇지 않아 훨씬 더 안전한 것으로 간주돼 왔다. 그러나 이조차도 적외선 필터를 제거할 수 있도록 수정된 일안렌즈리플렉스(SLR) 카메라 앞에서는 속수무책이었다.
밀납으로 가짜 손을 만드는 데는 단 한 장의 사진과 15분의 제작 시간만 필요했지만 그렇게 되기까지는 장장 30일 동안 2500장 이상의 테스트용 사진이 필요했다.
심지어 시연도 완전히 계획대로 되지는 않았다. 연구원들은 복도 불빛이 해킹에 방해가 되는 것을 막기 위해 스캐너 중 하나를 탁자 밑에 놓아야 했다. 하지만, 이 방법이 효과가 있다는 것이 증명됐기 때문에 다른 연구원들은 좀더 효율적이고 신뢰할 수 있는 과정을 만들기 위해 이 방법에 기반해 연구할 것으로 보인다.
정맥 인증은 현재 어떤 주류 스마트폰에서도 사용되지 않고 있다. 대신 독일의 통신정보기관과 같은 건물에 대한 접근 통제를 위해 흔히 사용된다. 하이제온라인에 제공된 발표문에서 후지쯔 대변인은 이 해킹의 의미를 축소하려고 애쓰면서 “이 해킹기법은 실험실 조건에서만 성공할 수 있으며 실제 세계에서는 효과가 없을 것”이라고 말했다.
스타버그란 별명으로도 알려진 크리슬러가 주요 생체 보안 기술을 우회한 것은 이번이 처음은 아니다. 그는 지난 2013년 독일에서 애플 아이폰이 발표된 지 24시간도 안돼 터치 ID를 우회했으며, 그 다음 해에는 독일 국방장관의 지문 모형을 제작할 수 있었다. 그는 또한 적외선 이미지와 콘택트 렌즈를 이용해 홍채 스캐닝 기술의 취약점을 입증하기도 했다.
