인공지능 영상인식 기반의 정보보호 및 보안 솔루션을 제공합니다.
* All or most images in this article were created and edited using AI tools (ImageFX, ChatGPT, Gemini, etc.).
Issue Briefing
아무거나 쓰면 아무나 뚫는다!
지난해는 유독 정보유출 사고가 많았던 한 해였습니다. 통신사, e커머스, 금융기관 등에서 개인정보 유출을 비롯한 각종 보안사고가 잇따르면서 2차 피해에 대한 국민들의 불안감도 늘었는데요. 은행 앱 로그인에 활용되는 얼굴인식 인증 솔루션에서도 허점이 드러나면서 우려를 더했습니다.
최근 일부 시중 은행 앱의 얼굴인식 로그인 시스템이 사용자의 얼굴을 인쇄한 종이가면을 이용한 단순한 위변조 공격에도 손쉽게 뚫리는 것으로 알려지며 논란이 됐습니다. 은행 앱에 대한 무단 접근은 민감정보 탈취뿐 아니라 곧바로 2차 금융피해로도 이어질 수 있어 심각성이 더욱 크다고 볼 수 있습니다.
다양한 산업에서 얼굴인식 솔루션을 탑재하는 사례가 증가하면서, 이를 지능적으로 우회하는 위변조(Spoofing) 수법 역시 진화하고 있습니다. 얼굴인식은 사용자의 편의성을 극대화할 수 있는 기술로 평가되지만, 편의에만 치우친 얼굴인식 기술은 오히려 보안의 취약점이 될 수 있습니다. 보안에 아무거나 쓴다는 것은 아무나 뚫을 수 있는 위험을 방치하는 일이 될 것입니다.
‘진짜 얼굴’만을 인식해야 ‘진짜 기술’
과거 ATM에 활용된 얼굴인식 인증에서도 유사한 허점이 드러난 적이 있습니다. 2023년 한 은행에서 얼굴 인증 기반 ATM 출금 서비스를 시행했다가 심각한 보안 취약점이 노출되면서 곧바로 서비스를 중단했던 사례입니다.
이 서비스는 사전에 정보를 등록한 고객의 얼굴을 ATM이 인식해 입출금 및 송금을 할 수 있도록 한 것인데, 실제 얼굴이 아닌 얼굴 사진으로도 인증이 가능했던 것입니다. 물론 출금이나 송금을 위해서는 얼굴인증 후 비밀번호를 입력하는 보안 단계를 한 번 더 거쳐야 했으나, 계좌에 접근하는 것만으로도 정보유출 등의 피해는 얼마든지 발생할 수 있습니다.
이 사례는 등록된 사진을 기반으로 단순히 2D 매칭만 하는 얼굴인식 시스템이 보안에 얼마나 취약한지를 보여준 동시에, 얼굴인식 기술에 필수 조건이 무엇인지 일러준 셈이기도 합니다. 당연한 말이지만, ”진짜 얼굴’만을 인식하는 기술이 ‘진짜’ 얼굴인식 기술이라고 할 수 있습니다. 반대로 ‘가짜 얼굴’에 무력한 기술은 말 그대로 ‘가짜’입니다.
허술한 中 안면인식…10~40위안에 가짜 얼굴 가면 판매되기도
최근에는 중국의 공무원들이 가짜 얼굴을 사용해 출퇴근 기록을 허위로 입력했다는 의혹으로 논란이 된 사건도 있었습니다. 동료의 얼굴 가면을 쓰고 대리 출근하던 공무원들이 무더기로 적발된 것인데요. 이때 쓰인 안면인식 카메라는 눈, 코, 입, 턱선 등 주요 특징점을 식별하고, 이들 사이의 거리와 모양에서 나오는 고유한 기하학적 특징을 측정하는 것으로 알려졌습니다.
이 사건은 현장을 목격한 주민이 “한 사람이 여러 직원의 출근을 대신 처리하고 있다”고 신고하면서 수면 위로 드러났습니다. 이와 관련해 공개된 영상에는 한 남성이 다른 사람의 얼굴이 인쇄된 가면을 얼굴인식 카메라에 들이밀자 ‘출근성공’이라는 메시지가 나타나는 모습이 담겼습니다. 건물 내부 CCTV에도 직원들이 서로 번갈아 가면을 착용해 인식기에 접근하는 장면이 찍혀있었습니다.
심지어 중국의 일부 쇼핑몰에는 ‘얼굴인식 출퇴근키’라는 이름으로 가짜 얼굴 가면이 10~40위안에 판매되고 있다고 합니다. 중국은 생체인식 기술의 보편화를 취지로 공공기관 출입 시 실시간 얼굴인식 기술을 활발히 사용하고 있으나, 이 사건으로 생체와 가면을 구별하지 못하는 취약점이 드러났습니다.
금융이 뚫리면 개인이 뚫린다!
금융기관의 생체인증을 뚫기 위해 개인 정보를 훔치는 멀웨어(악의적 프로그램)도 극성을 부리고 있습니다. 영국 보안 전문 기업 아이프루프는 얼굴인식 생체 인증을 겨냥한 사이버 공격이 급증하고 있음을 지적한 바 있으며, 싱가포르 보안 전문 기업 그룹-IB은 얼굴인식 생체 인증을 노린 멀웨어가 등장해 온라인 상에 광범위하게 퍼지고 있다고 지적하기도 했습니다. 이렇게 수집된 정보는 온라인 뱅킹 서비스 등의 얼굴인식 생체 인증을 통과하는 데 악용될 수 있습니다.
위조 신분증을 이용한 범죄도 주목됩니다. 지난해 8월 국내 비대면 금융 채널에서 위조된 신분증을 사용해 개인의 마이너스 통장을 개설하고 약 5000만원의 돈을 빼간 사건이 보도됐습니다. 심지어 주소 정보 등이 원본과 달랐음에도 불구하고 비대면 거래 시스템에 적발되지 않고 수천만원 규모의 불법 대출이 이뤄진 것입니다. 얼굴정보뿐만 아니라 신분증 진위 여부를 판별하는 기술은 비대면 금융 서비스가 보편화된 오늘날 필수적으로 요구되는 기술이 될 것입니다.
금융이 뚫리면 개인이 뚫립니다. 따라서 상기한 일련의 사건들은 얼굴정보 및 신분증 이미지에 기반한 비대면 채널의 인증 시스템 자체의 신뢰성 및 안전성에 대한 재검토가 필요함을 시사합니다. 특히 이러한 정보가 단순 인증 수단이 아니라 ‘디지털 신분증’처럼 광범위하게 사용되는 환경에서는 위변조 공격을 막는 강력한 기술과 엄격한 관리 체계가 요구됩니다.
[전문 목차(링크)]