[디지털투데이 유다정 기자] 카카오페이가 자사 송금 및 결제 서비스 이용 시 '얼굴 인식' 기능을 통해 인증할 수 있게 했다. 생체 인증(바이오인증)에 대한 관심과 실생활 접목 사례가 늘면서 이에 따른 대비 필요성도 높아지고 있다.

지난 17일 카카오페이에 따르면 회사는 얼굴 인식 기능을 도입했다. 지문에 이은 생체 인식 기능이다. 약관 동의 후 본인 얼굴 사진을 찍어 등록한 뒤, 송금·결제·인증 시 얼굴 인식 서비스를 이용할 수 있다. 

카카오페이 관계자는 "최신 기종의 스마트폰에서만 가능했던 얼굴인식 기능을 모두가 사용할 수 있도록 사용자 경험을 제공하기 위함"이라고 설명했다.

실제로 이용해보니 1장의 정면 사진만 가지고도 등록이 가능했으며, 인식 속도 또한 매우 빨랐다. 너무나 쉬운 절차 탓에 과연 안전한 지에 대한 의구심도 생겼다. 돈이 오고가는 결제나 송금 서비스기 때문에 더욱 그랬다.

삼성전자 갤럭시S8과 S8+, 애플의 아이폰X에서는 스마트폰 잠금을 푸는 데 얼굴 인식을 이용할 수 있다. 아이폰 페이스ID의 경우 아이폰X의 트루뎁스(TrueDepth) 카메라 시스템으로 불리는 셀프 카메라 기능을 통해 작동한다. 카메라는 주변 광 및 근접 센서, 적외선 카메라와 700만 화소 줌 카메라, 투광조명 센서(Flood Illuminator), 3만개의 점을 얼굴에 쏴서 인식하는 도트 프로젝터(Dot Projector)로 이루어진 모듈로 구성됐다.

먼저 얼굴의 앞, 위, 아래, 옆면 등 다각도로 찍어야 한다. 얼굴 인식 기능이 활성화되면 휴대 전화를 볼 때마다 투광조명 센서가 사용자의 얼굴을 감지하고 적외선 카메라가 이미지를 찍는다. 도트 프로젝터가 3만개 이상의 적외선 도트를 발사해 얼굴형상의 도트 패턴을 만든다. 이 두 세트의 데이터는 10억 개 이상의 이미지로 훈련된 신경 네트워크(Neural Networks)을 사용하여 아이폰에 저장된 사용자 얼굴의 수학적 모델과 비교하도록 A11 Bionic 칩으로 전송된다. 

그럼에도 불구하고 이미 2017년 베트남의 보안 연구팀인 Bkav는 3D 프린트 등을 이용해 만들어진 마스크에 의해 페이스ID를 뚫었다고 주장했다. 그밖에 쌍둥이나 형제·자매, 비슷하게 생긴 얼굴에 의해서도 얼굴 인식이 무력화됐다는 사례는 계속 나오고 있다. 

(이미지=픽사베이)
(이미지=픽사베이)
삼성전자서비스센터 홈페이지 내 질문과 답변. 삼성전자는 얼굴 인식은 사용자 편의를 위해 적용된 기능이라며, 보다 강력한 보안을 필요로 하는 결제 등에는 사용되지 않는다는 점을 명확히 했다. 아울러 모바일 결제 등에는 홍채인식이나 지문인식 등 안전한 방식을 선택할 것을 권고했다.(이미지=삼성전자서비스센터 웹페이지 갈무리)
삼성전자서비스센터 홈페이지 내 질문과 답변. 삼성전자는 얼굴 인식은 사용자 편의를 위해 적용된 기능이라며, 보다 강력한 보안을 필요로 하는 결제 등에는 사용되지 않는다는 점을 명확히 했다. 아울러 모바일 결제 등에는 홍채인식이나 지문인식 등 안전한 방식을 선택할 것을 권고했다.(이미지=삼성전자서비스센터 웹페이지 갈무리)

얼굴 인식, 안전성에서는 '미흡'

같은 맥락에서 삼성전자는 얼굴 인식은 사용자 편의를 위해 적용된 기능이라며, 보다 강력한 보안을 필요로 하는 결제 등에는 사용되지 않는다는 점을 명확히 했다. 아울러 모바일 결제 등에는 홍채인식이나 지문인식 등 안전한 방식을 선택할 것을 권고하기도 했다.

이에 대해 카카오페이 관계자는 "얼굴인식은 필수가 아닌 선택 사항으로, 인증 방식은 이용자가 언제든 바꿀 수 있다"며, "한국인터넷진흥원(KISA)에서 바이오 인식 알고리즘 성능 테스트를 통과했다"고 답했다.

'바이오 인식 알고리즘 성능 테스트는 ISO/IEC 19795 기준에 따라 이미지를 두고 본인이 맞는지 혹은 타인과 구분하는 알고리즘이 얼마나 정확한 지를 평가한다. 즉 안전성 테스트와는 사뭇 다르다. 

KISA 보안성능인증팀의 황희훈 씨는 "1% 이하의 오차를 보였을 때에만 인증을 받기 때문에 통과하지 못하는 기업도 많다"면서도, "이 정도 성능은 돼야 실생활에서 쓸 수 있다, 없다를 평가하는 매우 기초적인 시험"인 점을 강조했다. "본인과 타인을 구분하는 성능 테스트일 뿐, 위조를 판별할 수 있는 능력이 있다는 말이 아니"라는 설명이다. 

아직까지 바이오 인증으로는 지문이 가장 널리 쓰이고 있어, KISA에서도 위조지문을 중심으로 대비에 나서고 있다.

황희훈 씨는 "국내서 얼굴인식 위조와 관련해 감시감독 하는 곳은 없다. 현재는 위조 지문부터 시작해 향후 홍채와 얼굴 위조까지 확장해 나갈 계획"이라며 "현재로서는 멀티모달, 즉 2개의 바이오 인증 혹은 바이오 인증과 비밀번호를 추가로 입력하는 것이 권고되는 정도"라고 밝혔다. 

다만 애틀랜타와 미니애폴리스, 솔트레이크시티 공항 등 미국과 유럽, 그리고 중국 정부의 주도로 ▲출입국 관리 ▲결제 ▲지능형CCTV 등 얼굴 인식 기술이 실생활에 접목되는 사례가 늘고 있어, 그에 따른 보안 및 개인정보 보호에 대한 대비 필요성이 제기되고 있다.

키워드

#카카오페이 #생체인증 #바이오인증 #얼굴인식 #페이스ID
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사