인공지능 영상인식 기반의 정보보호 및 보안 솔루션을 제공합니다.
* All or most images in this article were created and edited using AI tools (ImageFX, ChatGPT, Gemini, etc.).
Type of Attack
전통적 프레젠테이션 공격 여전히 위협적
프레젠테이션 공격(Presentation Attack)은 카메라 기반 인증 시스템을 속이기 위해 인쇄된 얼굴 사진, 고해상도 디스플레이로 재생한 영상, 실리콘·3D 프린팅 마스크 등을 사용하는 방식으로, 실제 얼굴이 아닌 ‘제시물(presentation)’을 카메라 앞에 보여주는 전통적인 우회 기법입니다.
국제 생체인식 표준(ISO/IEC 30107-3)에서도 이 공격이 대표적 위협으로 분류되며, 실제 금융권과 출입 시스템 등에서 리플레이 공격(저장된 영상 재생), 사진 들이대기, 3D 마스크를 통한 얼굴인식 센서 기만 사례가 꾸준히 보고돼 왔습니다.
특히 엔트러스트(Entrust)의 2024–2025 Identity Fraud 보고서에서는 프레젠테이션 공격이 여전히 가장 흔한 안면인식 우회 방식 중 하나이며, 단일 RGB 카메라 기반 서비스에서 탐지 실패율이 높다고 지적합니다.
얼굴 이미지 재사용 공격으로 이어지는 악성코드와 데이터 유출
스마트폰 악성코드가 사용자의 사진·영상 파일을 무단으로 수집하고, 수집된 얼굴 이미지를 금융용 안면인증 우회에 악용하려는 정황이 포착된 사례도 있었습니다. 이는 1차 피해(데이터 유출)가 2차 피해(금융 범죄)로 이어지는 과정을 설명합니다.
단순 이미지 탈취를 넘어, SNS·클라우드 해킹으로 확보한 얼굴 이미지가 인증 시 재사용되는 새로운 형태의 공격입니다. 기존에는 비교적 위험성이 낮다고 여겨지던 ‘정지 이미지’가 합성·보정·딥러닝 기반 복원 기술과 결합되면서 인증 우회 가능성을 크게 높였습니다.
특히 금융권은 안면인증을 계정 복구, 비대면 본인확인, 대출·송금 등의 고위험 프로세스에 활용하고 있어, 사진·영상 유출 자체가 인증 크레덴셜 유출과 동일한 효과를 내는 셈입니다. 심지어 사용자도 모르게 데이터가 탈취되는 경우가 많은데요. 이 때문에 탐지가 어렵고 인지가 늦어져 피해를 더욱 키울 수 있다는 것도 큰 문제입니다.
진화하는 ‘위조 문서·신분증 + 얼굴 eKYC’ 결합 공격
국내외 금융사기 보도에서 반복적으로 등장하는 유형은 위조 신분증(주민등록증·운전면허증)과 얼굴인식 eKYC 우회를 결합한 복합 공격입니다. 비대면 계좌 개설이나 대출 실행 과정에서 공격자가 신분증을 디지털로 조작하거나 복제한 뒤, 그 신분증 사진과 유사한 얼굴 이미지를 이용해 본인확인 절차를 우회한 사례가 보고되기도 했습니다.
일부 공격은 ▲신분증 위조 + 탈취된 얼굴 이미지 재사용 ▲신분증 위조 + 딥페이크 얼굴 영상 합성 ▲신분증 위조 + 제3자의 실제 얼굴을 이용한 대리 인증 등의 형태로 진화하고 있으며, 이는 단일 촬영 기반 eKYC 시스템이 가진 인지적 한계를 노린 전형적인 공격입니다.
국내 금융기관들은 이러한 위협에 대비하기 위해 고정밀 안면인식 시스템 도입, 문서·신분증 진위 여부 검증 시스템 강화, 실재성 검증(Liveness Detection), 고위험 거래 대면확인 복원 등을 추진하고 있습니다.
[전문 목차(링크)]