윈도우10 얼굴인식기능은 적외선사진의 저해상도 컬러 복사한 것이라도 속일 수 있는 것이 판명

윈도우10 얼굴인식기능은 적외선사진의 저해상도 컬러 복사한 것이라도 속일 수 있는 것이 판명

Microsoft Windows 10에는, 카메라를 사용해서 얼굴을 인식하는 것으로 단말에 로그인할 수 있는 Windows Hello라고 불리는 얼굴인식기능이 탑재되고 있는 것입니다만, 보안 조사 회사가 인물의 얼굴을 적외선사진과 같이 가공한 저해상도로 컬러 복사한 것을 보여주는 것으로 언록 가능한 취약성을 검증해 밝혀졌습니다.

Windows Hello는 근적외선 센서 등을 사용해서 얼굴을 인식하는 것으로 비밀번호나 지문인증의 대신이 되는 기능으로, 일부 Windows 10탑재 PC로 이용하는 것이 가능합니다. 그러나 독일의 보안 조사 회사 「SySS GmbH」가 이 기능에 대해서 조사한 결과, 본인이 없어도 종이에 인쇄한 얼굴 사진으로 언록할 수 있는 것을 밝혀졌습니다.

Windows Hello에 의한 얼굴인식에서는, 근적외선 카메라와, Windows 10버전에 따라서는 RGB 카메라 데이터를 사용해서 인증의 정밀도를 올리는 구조가 탑재되고 있습니다. 게다가, Windows Hello에는 남에 의한 「위장」을 방지하는 「확장 스프핑 대책」기능이 탑재되고 있는 것입니다만, 기정으로 무효가 되고 있어서 스스로 효율적으로 할 필요가 있습니다. 또 이 기능은 Microsoft 「Surface Pro 4」등, 일부 대응 기종이 아니면 이용할 수 없는 것이 되고 있습니다.

SySS GmbH에 의하면, 기능을 회피할 수 있었던 것은 일부 조건을 채웠을 경우입니다.

·인물의 얼굴을 바로 정면에서 촬영

·그 사진은 근적외 촬영된 것

·이미지의 밝음이나 콘트라스트가 단순화되고 있는 것

·레이저프린터로 그 사진을 인쇄한 것

이하 무비는, 실제로 그 모양을 실증한 것입니다.

Biometricks 1/3: Windows Hello Face Authentication Bypass PoC I

SySS에 의하면, Windows 10 최신 빌드인 1703과 1709에서는, 적외선 카메라를 병용하는 「확장 스프핑 대책」기능이 유효화한 경우, 상기와 같은 인쇄된 얼굴 사진에 의한 스프핑 공격에서는 인증을 돌파할 수 없습니다. 그 때문에 동사에서는, Windows Hello 얼굴인식을 이용할 경우는, Windows 10을 빌드 1709 이후의 최신판에 갱신하고, 확장 스프핑 대책기능을 유효하게 한 뒤에서, Windows Hello 얼굴인식을 재셋업하도록 권장하고 있습니다.