아이폰X '페이스ID' 논란...생체인증 기술은 안전할까

[키뉴스 박근모 기자] 오는 24일 국내 출시될 아이폰X(텐)에는 생체인증 기술 '페이스ID'가 탑재됐다. 페이스ID는 애플이 아이폰 출시 10주년 야심작으로 내놓은 아이폰X를 상징하는 혁신 기술로 꼽힌다. 그러나 국내 금융 기관들은 보안을 이유로 페이스ID의 금융 거래 사용이 어렵다는 결정을 내렸다.

현재 생체인증 방식 중 지문과 홍채, 지정맥 등은 금융 거래에 이용할 수 있다. 애플은 기존 안면인식 기능을 대폭 강화해 보안성을 높였다고 주장하지만, 페이스ID 인식 오류 사례가 보고되면서 생체인증 기술에 대한 논란이 커지고 있다.

지난 9일 베트남 보안 연구팀 'Bkav'는 유튜브에 페이스ID 인식 오류 동영상을 공개하며 "3D 프린터로 만든 안면 윤곽에 2D 인쇄본, 특수 제작한 얼굴 표면 등을 활용해 만든 가짜 얼굴을 페이스ID가 인식하고 인증을 통과했다"라며 "페이스ID의 인식 기술은 아직 불완전하다"고 전했다.

베트남 보안업체 Bkav가 가짜 얼굴 인식 테스트를 진행한 결과 페이스ID가 오인식했다. (사진=Bkav)

또한 쌍둥이 형제나 가족의 경우에도 페이스ID의 오인식 사례가 꾸준히 보고되고 있다.

생체인증 수단별 특징

안면인식 기능 강화한 페이스ID

생체인증 중 안면인식 기술은 비접촉 방식으로 기존 카메라 모듈만 있다면 곧바로 적용할 수 있다는 장점이 있다. 반면 안경, 모자, 가발, 조명 등 환경의 영향에 따라 인식 오류 가능성이 높다.

현재 금융기관들이 안면인식의 도입을 꺼려하는 이유 중 하나는 실제 사람의 얼굴과 2D 이미지를 구별하지 못해 동일인으로 인식하는 사례가 보고됐기 때문이다.

애플이 아이폰X에 탑재한 페이스ID는 기존 안면인식 기능을 개선해 실제 사람의 얼굴과 2D 이미지를 정확히 구분할 수 있다는 것이다. 페이스ID는 실제 사람의 얼굴을 2D로 인식ㆍ분석하는 안면인식 방식에서 탈피해, 3D로 인식ㆍ분석한다.

페이스ID를 작동하는 트루뎁스 카메라 시스템 (사진=카스퍼스키랩)

페이스ID는 아이폰X의 전면에 탑재된 트루뎁스 카메라 시스템을 사용한다. 트루뎁스 카메라는 적외선 카메라, 투광 일루미네이터, 도트 프로젝터로 이뤄져 있다.

트루뎁스 카메라는 도트 프로젝터로 사용자의 얼굴을 3만개 이상의 점으로 형태뿐만 아니라 깊이까지도 측정한다. 측정한 정보는 아이폰X의 A11에 내장된 인공지능(AI) 머신러닝 툴인 '뉴럴 엔진'으로 보내진다. 이후 뉴럴엔진은 사용자의 안면인식 데이터를 기반으로 학습해 안경, 모자, 가발, 화장 등 기존 안면인식이 불가능한 환경에서도 정확한 인식이 가능하다.

홍채인증 오인식 확률 20억분의 1

다양한 생체인증 수단 (자료=KISA)

지문인식은 세상에 등장한지 100년이 넘을 정도로 가장 널리 보편화됐으며, 기술 숙성도가 높다. 또한 인식 센서의 가격도 저렴해 스마트폰을 비롯해서 다양한 분야에서 사용된다.

한국인터넷진흥원(KISA)에 따르면 홍채인식은 홍채 모양, 색깔, 망막 모세혈관의 형태소 등을 인식하는 기술로 생후 18개월에 모양이 완성된 후 평생 변하지 않아 인증 수단으로 유용하다. 지문인식의 경우는 타인과 동일하거나 유사해 오인식할 확률이 5만분의 1이지만, 홍채인식은 20억분의 1수준으로 보안성이 매우 우수하다. 이에 비해 얼굴 인식인 페이스ID의 오인식 확률은 애플의 주장에 의하면 100만분의 1이다.

홍채인식은 보안성이 월등히 높지만 인식 센서의 가격이 비싸고, 센서에서 나오는 빛을 바라봐야 한다는 점이 단점으로 꼽힌다.

홍채인식, 지문인식 등은 모두 FIDO(Fast IDentity Online) 얼라이언스의 표준 기술로 제공되고 있지만, 애플의 페이스ID는 독자 규격으로 이뤄졌다.

FIDO 얼라이언스는 마이크로소프트(MS), 구글, 삼성전자, LG전자, 레노버 등 200여개의 글로벌 IT 기업들이 온라인 보안 인증 시스템 구축과 기술 개발을 위해 만든 단체다. 특히 생체인증 등 인증 기술의 국제 표준을 제시하며, 회원사들은 모든 인증 기술을 공유한다.

국내 한 보안 전문가는 "애플의 페이스ID는 기존의 생체인증 방법 중 안면인식 기능을 개선한 형태"라며 "기본적으로 안면인식 기술은 홍채인식에 비해 오인식 확률이 높을 수밖에 없다"고 설명했다.

이어 "페이스ID를 구성하는 트루뎁스 카메라의 성능 개선과 AI 머신러닝 기술을 향상시킨다면 지금 보고되는 대부분의 사례는 해결될 수 있을 것"이라며 "그렇다고 하더라도 보안이 생명인 금융기관에서 페이스ID를 도입하기 위해서는 검증이 필요한 만큼 상당 시간이 걸릴 수 있다"고 덧붙였다.

<저작권자 Copyright ⓒ 키뉴스 무단전재 및 재배포 금지>