아이폰X, ‘안면인식’ 기능 논란…보안·해킹 문제는?
SBS Biz
입력2017.11.30 10:27
수정2017.11.30 10:27
■ 경제와이드 이슈& '생활경제' – 한인수 펜타시큐리티 이사
아이폰 텐이 지난 24일 한국에서도 출시되면서 높은 소비자들의 관심을 받고 있습니다. 여러가지 새로운 기능 중에서 눈길을 끈 것은 안면 인식을 이용한 사용자 인증이 새롭게 추가된 것입니다. 그런데 이 안면 인식 기능을 두고 출시 전부터 해킹 등 보안에 대해 많이 이야기되기도 했습니다.
안면 인식 기능 도입에 신중해야 한다는 주장이 제기되고 반면, 아이폰 텐 사용자가 국내에 많아지면 결국 얼굴 인식을 적용할 수밖에 없지 않겠느냐는 의견도 있었습니다. 오늘은 아이폰 텐으로 논란이 된 안면 인식과 보안 이슈에 대해 이야기 나눠보겠습니다.
Q. 얼굴 인식 혹은 안면 인식은 아이폰 이전에도 있던 기술로 알고 있습니다. 사진을 식별한다거나, 영상에서 얼굴을 찾아내는 등 오래전부터 활용되온 것인데 왜 아이폰 텐에 장착된 이 기능이 주목을 받고 있는 건가요?
아이폰 텐의 안면 인식은 기술적으로 보면 2D 평면 사진이나 영상 이미지가 아니고 3차원 입체 이미지를 분석하는 기술에서 큰 차이가 있습니다. 물론 3차원 입체 이미지 분석 역시 이전에 있던 기술은 맞습니다.
그러나 3차원 입체 이미지 분석 기술은 널리 사용되지는 않았습니다. 일부 게임기기나 산업용에서 사용되던 기술입니다. 그런데 이를 스마트폰 안에 집적한 것은 큰 기술적인 성과입니다
조금 더 살펴보면 아이폰 텐에서는 사진을 찍는 카메라 이외에도 별도의 적외선 카메라를 이용해 어두운 곳에서도 얼굴을 알아볼 수 있게 했고요, 입체를 인식하기 위한 거리 측정 스케닝 기술을 사용합니다.
이런 여러 센서 뿐만 아니라 이미지를 처리할 때 필요한 고성능 프로세서도 사용됩니다.
기술적인 부분 이외에도 흥미롭게 바라봐야 할 점은 아이폰의 홈 버튼을 없애고 잘 사용돼 오던 지문 인식 기능을 빼 버린 점인데요. 보편적 인증 수단으로 자리잡고 있던 지문 대신에 얼굴 인식으로 변경한 것은 앞으로 사용자에게 큰 변화를 줄 것으로 생각됩니다. 또 이 얼굴 인식을 활용한 새로운 앱들이 얼마나 많이 나올지도 기대되고 있습니다.
Q. 그런데 보안에 대한 우려의 목소리가 곳곳에서 나오고 있습니다. 그만큼 보안 성능이 떨어진다는 것인가요? 우려하는 의견들이 많은데요 해킹이나 보안에 대해 대비는 충분하다고 보시나요?
한 업체에서 3D프린터와 실리콘으로 사용자와 닮은 얼굴을 만들어 잠금화면을 해제했다고 하는 것을 저도 보았는데요. 입체적으로 정교하게 사람의 얼굴과 똑같이 만들 수 있다면 가능할 수도 있을 시나리오입니다.
그러나 몇 일 이상 걸리는 이런 방법으로 사용자의 전화기 잠금화면을 해킹하는 것은 현실적으로 해커가 사용하기에는 매우 힘들 것 같습니다. 예외적인 경우이죠.
얼굴 뿐 아니라 지문 홍채 등 생체 인식을 해킹하는 시도는 주로 센서의 정밀도나 인식 알고리즘의 취약점을 파고드는 시도가 많은데요.
이런 점에 대한 대책으로 OTP를 이용한다거나 하는 추가 인증 수단을 널리 이용하고 있습니다. 지금 많이 이야기되는 소비자들의 주장은 대부분 해킹이 아니라 불편함의 호소입니다.
즉 얼굴을 잘못 인식하는 경우 번거롭다는 이야기이거나, 지문 인식 초기 처럼 얼굴을 입력하는데 익숙하지 않기 때문입니다. 애플사도 어린아이나 쌍둥이, 닮은 가족 등의 경우 오인식 될 수 있다고 밝히고 있습니다만 그런 경우를 제외하면 일반적으로 오인식 될 확률은 백만분의 일이라고 합니다. 기존에 애플의 지문인식의 경우보다 잘못 인식할 확률이 매우 낮습니다.
Q. 그렇다 하더라도 오인식률이 백만분의 1의 확률이라고 한다면, 소비자들은 여전히 불안하지 않을까요? 그만큼의 확률로 취약점이 있다는 이야기 아닐까 싶은데요. 보안에 문제점은 없을까요?
옳으신 지적입니다. 많은 경우 보안의 수준을 높이려면 지문 인식을 단독으로 인증수단으로 사용하지 않고 있습니다. 휴대전화 인증 등 다른 본인 인증 수단과 함께 사용하고 있는 것이 보편적입니다.
따라서 얼굴 인식을 사용한다고 해도 그것 단독으로 모든 인증을 대체할 것으로 보이지는 않습니다. 여전히 다른 보조 수단을 함께 써서 보안성을 높이게 될 것 같습니다.
이론적으로 센서에 대한 해킹 취약점은 항상 존재합니다. 안면 인식 등 생체 인증 기술을 전화기에서 사용하려면 높은 가격의 초정밀도 센서를 사용할 수 없기 때문에 전화기에서 사용할 만한 정도의 기준을 정하게 됩니다.
해킹의 가능성을 0으로 만들 수는 없습니다. 개인의 단말기의 잠금 화면 해제하는 것을 넘어 금융기관 등에 여러 곳에 사용하려면 얼굴 인증 한가지 수단에 의존만 의존하지 않고 여러가지 보조 수단을 병행하는 것이 중요합니다.
Q. 최근 금융권에서 아직 모바일 뱅킹에 사용하기 어렵다고 하는 이야기도 나오지 않습니까? 은행에서 사용하기에는 아직은 보안이 취약하거나 해킹의 위협이 있다는 이야기 아닐까요?
생체 인증은 크게 두단계로 구분할 수 있습니다.
첫째는 얼굴 지문 등 생체 정보를 정확하게 측정하여 디지털 신호로 바꾸는 인식 부분이고요.
둘째는 그 정보를 처리하여 사용자가 맞는지 인증하는 보안 인증 이 두 가지로 구성되어있습니다.
다시 말씀드리면 전화기 등 단말기에서 지문이나 얼굴 등을 인식하는 단계는 생체 인식이라 할 수 있고요, 그 정보를 은행에 로그인 하는 등 본인임을 인증하는 단계를 보안 인증이라고 할 수 있습니다.
그런데 기관의 입장에서는 인식 수단만 바뀐 것이므로 전체 보안 체계에 큰 영향을 주지는 않습니다. 지문 인식을 얼굴 인식으로 그 수단만 대체한 것이기 때문입니다.
따라서 안면, 얼굴 인식이 기존의 보안 체계에 따라 잘 암호화되고, 또 해킹이 되지 않도록 안전하게 전화기 안에 저장되는 등 가이드라인을 따르고 있다면 원론적으로는 문제없이 사용될 수 있는 것이죠.
다만, 새로운 인증 수단을 적용하고 안정화 되려면 IT 및 보안 전문가들의 노력이 필요할 것입니다. 앞으로 안면 인식을 하는 기기가 더 늘어나면 금융권에서도 많이 사용하게 될 것으로 봅니다.
Q. 지문 인식, 얼굴 인식 등 사람의 생체 정보를 이용한 수단이 많아지고 또 금융권뿐만 아니라 여러 곳에서 사용되게 된다면 그만큼 개인의 프라이버시나 정보 유출에 따른 피해도 늘지 않을까요?
생체정보와 관련된 개인정보에 관해 많은 지적이 있습니다. 전문가는 반드시 따라야 하는 원칙을 이야기하고 있고, 관계 당국은 생체 정보를 취급하는 모든 업체에 가이드라인을 제공하고 있습니다.
공청회도 여러번 열렸는데요. 이 생체 정보들이 그대로 노출되면 오남용되거나 악용될 소지가 많은 것이 사실입니다. 생체정보를 안전하게 처리하기 위한 업계와 관련 기관의 노력은 지속되여야 할 것입니다.
기술적으로는 개인 단말기, 즉 스마트폰 등 생체정보를 취득하는 그 단계에서 바로 암호화해서 보관하는 것이 중요합니다. 기기 내부에서 정보가 처리되는 중에 중간에 탈취되더라도 원래 정보를 볼 수 없도록 하는 가장 좋은 방법은, 생성 즉시 암호화하는 것이기 때문입니다.
그리고 기기가 물리적으로 탈취되더라도 읽어낼 수 없도록 디바이스 내부의 안전한 저장소에 보관해야 합니다. 최근에는 전화기 본체에서 강제로 읽으려고 하거나 저장소를 분리하게 되면 사용 불가능하게 되는 반도체를 안전한 정보 저장소로 사용하고 있기도 합니다.
Q. 여러 가지 이슈에도 불구하고 전 세계적으로 이런 개인의 생체 정보를 이용한 모바일 뱅킹이나 인증이 점차로 확산하는 것은 무슨 이유 때문인가요?
가장 큰 것은 비밀번호를 외우지 않아도 되는 편리성 때문입니다. 그리고 비밀번호는 유출될 경우 피해도 크고요. 생체정보는 외울 필요 없는 편리한 수단이며 본인의 고유한 것이라는 점에서 사용자들에게는 비밀번호를 대체할 편리한 수단일 수밖에 없습니다.
일부 자료에 의하면 2020년에는 모든 휴대기기에 생체 인식 수단이 탑재될 것으로 보고 있습니다.
이와 관련해서 FIDO (파이도) 얼라이언스라고 불리는 관련 기업의 연합체가 있는데요, 파이도는 Fast IDentity Online의 약자로 비밀번호의 문제점을 해결하고 개인의 식별을 빠르고 편리하게 하는 것을 목표로 하고 있습니다.
이 연합체에서는 관련 업체 간의 협력하여 생체인증 기술 표준을 정하고 호환성을 넓히는 일을 하고 있습니다.
이 표준은 기존에 전자서명에서 널리 사용하고 있는 공개키 기반의 인증 체계를 이용한 것인데요. 비밀번호 대신 생체 정보를 활용해서 은행 등 인터넷에서 본인 인증으로 사용하려는 것을 추구하고 있습니다.
(자세한 내용은 동영상을 시청하시기 바랍니다.)
아이폰 텐이 지난 24일 한국에서도 출시되면서 높은 소비자들의 관심을 받고 있습니다. 여러가지 새로운 기능 중에서 눈길을 끈 것은 안면 인식을 이용한 사용자 인증이 새롭게 추가된 것입니다. 그런데 이 안면 인식 기능을 두고 출시 전부터 해킹 등 보안에 대해 많이 이야기되기도 했습니다.
안면 인식 기능 도입에 신중해야 한다는 주장이 제기되고 반면, 아이폰 텐 사용자가 국내에 많아지면 결국 얼굴 인식을 적용할 수밖에 없지 않겠느냐는 의견도 있었습니다. 오늘은 아이폰 텐으로 논란이 된 안면 인식과 보안 이슈에 대해 이야기 나눠보겠습니다.
Q. 얼굴 인식 혹은 안면 인식은 아이폰 이전에도 있던 기술로 알고 있습니다. 사진을 식별한다거나, 영상에서 얼굴을 찾아내는 등 오래전부터 활용되온 것인데 왜 아이폰 텐에 장착된 이 기능이 주목을 받고 있는 건가요?
아이폰 텐의 안면 인식은 기술적으로 보면 2D 평면 사진이나 영상 이미지가 아니고 3차원 입체 이미지를 분석하는 기술에서 큰 차이가 있습니다. 물론 3차원 입체 이미지 분석 역시 이전에 있던 기술은 맞습니다.
그러나 3차원 입체 이미지 분석 기술은 널리 사용되지는 않았습니다. 일부 게임기기나 산업용에서 사용되던 기술입니다. 그런데 이를 스마트폰 안에 집적한 것은 큰 기술적인 성과입니다
조금 더 살펴보면 아이폰 텐에서는 사진을 찍는 카메라 이외에도 별도의 적외선 카메라를 이용해 어두운 곳에서도 얼굴을 알아볼 수 있게 했고요, 입체를 인식하기 위한 거리 측정 스케닝 기술을 사용합니다.
이런 여러 센서 뿐만 아니라 이미지를 처리할 때 필요한 고성능 프로세서도 사용됩니다.
기술적인 부분 이외에도 흥미롭게 바라봐야 할 점은 아이폰의 홈 버튼을 없애고 잘 사용돼 오던 지문 인식 기능을 빼 버린 점인데요. 보편적 인증 수단으로 자리잡고 있던 지문 대신에 얼굴 인식으로 변경한 것은 앞으로 사용자에게 큰 변화를 줄 것으로 생각됩니다. 또 이 얼굴 인식을 활용한 새로운 앱들이 얼마나 많이 나올지도 기대되고 있습니다.
Q. 그런데 보안에 대한 우려의 목소리가 곳곳에서 나오고 있습니다. 그만큼 보안 성능이 떨어진다는 것인가요? 우려하는 의견들이 많은데요 해킹이나 보안에 대해 대비는 충분하다고 보시나요?
한 업체에서 3D프린터와 실리콘으로 사용자와 닮은 얼굴을 만들어 잠금화면을 해제했다고 하는 것을 저도 보았는데요. 입체적으로 정교하게 사람의 얼굴과 똑같이 만들 수 있다면 가능할 수도 있을 시나리오입니다.
그러나 몇 일 이상 걸리는 이런 방법으로 사용자의 전화기 잠금화면을 해킹하는 것은 현실적으로 해커가 사용하기에는 매우 힘들 것 같습니다. 예외적인 경우이죠.
얼굴 뿐 아니라 지문 홍채 등 생체 인식을 해킹하는 시도는 주로 센서의 정밀도나 인식 알고리즘의 취약점을 파고드는 시도가 많은데요.
이런 점에 대한 대책으로 OTP를 이용한다거나 하는 추가 인증 수단을 널리 이용하고 있습니다. 지금 많이 이야기되는 소비자들의 주장은 대부분 해킹이 아니라 불편함의 호소입니다.
즉 얼굴을 잘못 인식하는 경우 번거롭다는 이야기이거나, 지문 인식 초기 처럼 얼굴을 입력하는데 익숙하지 않기 때문입니다. 애플사도 어린아이나 쌍둥이, 닮은 가족 등의 경우 오인식 될 수 있다고 밝히고 있습니다만 그런 경우를 제외하면 일반적으로 오인식 될 확률은 백만분의 일이라고 합니다. 기존에 애플의 지문인식의 경우보다 잘못 인식할 확률이 매우 낮습니다.
Q. 그렇다 하더라도 오인식률이 백만분의 1의 확률이라고 한다면, 소비자들은 여전히 불안하지 않을까요? 그만큼의 확률로 취약점이 있다는 이야기 아닐까 싶은데요. 보안에 문제점은 없을까요?
옳으신 지적입니다. 많은 경우 보안의 수준을 높이려면 지문 인식을 단독으로 인증수단으로 사용하지 않고 있습니다. 휴대전화 인증 등 다른 본인 인증 수단과 함께 사용하고 있는 것이 보편적입니다.
따라서 얼굴 인식을 사용한다고 해도 그것 단독으로 모든 인증을 대체할 것으로 보이지는 않습니다. 여전히 다른 보조 수단을 함께 써서 보안성을 높이게 될 것 같습니다.
이론적으로 센서에 대한 해킹 취약점은 항상 존재합니다. 안면 인식 등 생체 인증 기술을 전화기에서 사용하려면 높은 가격의 초정밀도 센서를 사용할 수 없기 때문에 전화기에서 사용할 만한 정도의 기준을 정하게 됩니다.
해킹의 가능성을 0으로 만들 수는 없습니다. 개인의 단말기의 잠금 화면 해제하는 것을 넘어 금융기관 등에 여러 곳에 사용하려면 얼굴 인증 한가지 수단에 의존만 의존하지 않고 여러가지 보조 수단을 병행하는 것이 중요합니다.
Q. 최근 금융권에서 아직 모바일 뱅킹에 사용하기 어렵다고 하는 이야기도 나오지 않습니까? 은행에서 사용하기에는 아직은 보안이 취약하거나 해킹의 위협이 있다는 이야기 아닐까요?
생체 인증은 크게 두단계로 구분할 수 있습니다.
첫째는 얼굴 지문 등 생체 정보를 정확하게 측정하여 디지털 신호로 바꾸는 인식 부분이고요.
둘째는 그 정보를 처리하여 사용자가 맞는지 인증하는 보안 인증 이 두 가지로 구성되어있습니다.
다시 말씀드리면 전화기 등 단말기에서 지문이나 얼굴 등을 인식하는 단계는 생체 인식이라 할 수 있고요, 그 정보를 은행에 로그인 하는 등 본인임을 인증하는 단계를 보안 인증이라고 할 수 있습니다.
그런데 기관의 입장에서는 인식 수단만 바뀐 것이므로 전체 보안 체계에 큰 영향을 주지는 않습니다. 지문 인식을 얼굴 인식으로 그 수단만 대체한 것이기 때문입니다.
따라서 안면, 얼굴 인식이 기존의 보안 체계에 따라 잘 암호화되고, 또 해킹이 되지 않도록 안전하게 전화기 안에 저장되는 등 가이드라인을 따르고 있다면 원론적으로는 문제없이 사용될 수 있는 것이죠.
다만, 새로운 인증 수단을 적용하고 안정화 되려면 IT 및 보안 전문가들의 노력이 필요할 것입니다. 앞으로 안면 인식을 하는 기기가 더 늘어나면 금융권에서도 많이 사용하게 될 것으로 봅니다.
Q. 지문 인식, 얼굴 인식 등 사람의 생체 정보를 이용한 수단이 많아지고 또 금융권뿐만 아니라 여러 곳에서 사용되게 된다면 그만큼 개인의 프라이버시나 정보 유출에 따른 피해도 늘지 않을까요?
생체정보와 관련된 개인정보에 관해 많은 지적이 있습니다. 전문가는 반드시 따라야 하는 원칙을 이야기하고 있고, 관계 당국은 생체 정보를 취급하는 모든 업체에 가이드라인을 제공하고 있습니다.
공청회도 여러번 열렸는데요. 이 생체 정보들이 그대로 노출되면 오남용되거나 악용될 소지가 많은 것이 사실입니다. 생체정보를 안전하게 처리하기 위한 업계와 관련 기관의 노력은 지속되여야 할 것입니다.
기술적으로는 개인 단말기, 즉 스마트폰 등 생체정보를 취득하는 그 단계에서 바로 암호화해서 보관하는 것이 중요합니다. 기기 내부에서 정보가 처리되는 중에 중간에 탈취되더라도 원래 정보를 볼 수 없도록 하는 가장 좋은 방법은, 생성 즉시 암호화하는 것이기 때문입니다.
그리고 기기가 물리적으로 탈취되더라도 읽어낼 수 없도록 디바이스 내부의 안전한 저장소에 보관해야 합니다. 최근에는 전화기 본체에서 강제로 읽으려고 하거나 저장소를 분리하게 되면 사용 불가능하게 되는 반도체를 안전한 정보 저장소로 사용하고 있기도 합니다.
Q. 여러 가지 이슈에도 불구하고 전 세계적으로 이런 개인의 생체 정보를 이용한 모바일 뱅킹이나 인증이 점차로 확산하는 것은 무슨 이유 때문인가요?
가장 큰 것은 비밀번호를 외우지 않아도 되는 편리성 때문입니다. 그리고 비밀번호는 유출될 경우 피해도 크고요. 생체정보는 외울 필요 없는 편리한 수단이며 본인의 고유한 것이라는 점에서 사용자들에게는 비밀번호를 대체할 편리한 수단일 수밖에 없습니다.
일부 자료에 의하면 2020년에는 모든 휴대기기에 생체 인식 수단이 탑재될 것으로 보고 있습니다.
이와 관련해서 FIDO (파이도) 얼라이언스라고 불리는 관련 기업의 연합체가 있는데요, 파이도는 Fast IDentity Online의 약자로 비밀번호의 문제점을 해결하고 개인의 식별을 빠르고 편리하게 하는 것을 목표로 하고 있습니다.
이 연합체에서는 관련 업체 간의 협력하여 생체인증 기술 표준을 정하고 호환성을 넓히는 일을 하고 있습니다.
이 표준은 기존에 전자서명에서 널리 사용하고 있는 공개키 기반의 인증 체계를 이용한 것인데요. 비밀번호 대신 생체 정보를 활용해서 은행 등 인터넷에서 본인 인증으로 사용하려는 것을 추구하고 있습니다.
(자세한 내용은 동영상을 시청하시기 바랍니다.)
ⓒ SBS Medianet & SBSi 무단복제-재배포 금지
많이 본 'TOP10'
- 1.[단독] 네이버페이·페이코, 문화상품권 손절한다…파장 확산
- 2.'2억 깎아줄테니, 주말까지 팔아줘요'…잠실 집주인 '발동동'
- 3.오늘부터 금리 내린다…내 대출이자 얼마나 줄어들까?
- 4.이제 출근길에 삼성전자도…110개→350개로 늘어난다
- 5."회사는 취미겠네"…월급 빼고 월 6천만원 버는 직장인 '무려'
- 6.'연봉 93억' 증권사 연봉킹 '수석님', 누구일까?
- 7.'백종원 식당들' 안보인다 했더니…가맹브랜드 59% 매장 줄었다
- 8.라면 싫다던 엄마, 진라면 박스째로 사왔다 왜?
- 9.[단독] 오너 3형제의 '한화에너지' 계열사 상대 140억대 소송
- 10."앉아서 5억 번다"…광교신도시 로또줍줍에 36만명 몰렸다