“완벽한 시스템이란 건 없다.”

새로운 스마트폰 ‘아이폰 X’의 페이스ID 기능을 발표하던 필립 실러 애플 부사장은 이렇게 말했다. “페이스ID가 사용자를 제대로 인식하지 못할 가능성은 100만분의 1에 불과하다”고 자신하던 그는 결국 허점을 용인하는 찝찝한 말 한마디를 남겼다. 자신감을 상실한 듯한 부사장의 이 말에 페이스ID 기능에 물음표가 던져졌다. 과연 안전한가?

애플의 페이스ID란


140만원이 넘을 것으로 예상되는 애플의 신상 ‘아이폰 X’에는 홈 버튼이 없다. 홈 버튼이 사라지면서 화면을 쓸어 올리는 방식으로 홈 화면이 나타나고, 생체인식시스템 페이스ID로 잠금을 해제한다. 이를 활용해 애플 페이로 애플리케이션을 내려받을 수 있다. 페이스ID는 사용자의 얼굴을 학습한다. 그래서 사용자가 안경이나 모자를 써도 인식이 된다고 애플은 자신했다. 사용자 얼굴을 3만개의 점으로 나눠 인식 오류가 날 확률을 100만분의 1로 낮췄다는 것이 회사의 설명이다.

“아이폰 X는 여러분의 얼굴을 인식해 잠금을 해제합니다. 지금껏 이보다 간단하고, 간편하고 자연스러운 기능은 없었습니다. 페이스ID는 스마트폰 잠금 해제의 미래이자 우리의 민감한 정보를 보호하는 미래입니다.” (필립 실러 애플 부사장)


이 말이 사실이라면, 애플은 지금껏 얼굴 인식 기능이 가졌던 치명적인 단점들을 모두 극복했어야 한다. 물론 애플의 페이스ID는 얼굴 인식 기능의 한계를 많이 극복했다. 삼성의 갤럭시 노트8의 얼굴 인식보다는 뛰어나다는 평을 받는다. 삼성 갤럭시 노트8은 2D 셀카 사진으로도 잠금이 해제된다. 웹 개발자 멜 타존은 이를 실험해 영상을 게재했다. 영상을 보면 얼굴 인식 잠금이 얼마나 비효율적이며 안전하지 못한지 알 수 있다.



삼성 갤럭시 노트8에 찍어둔 셀카 사진을 보여주자 1초 만에 잠금이 해제됐다. 사진만 있다면 남들이 내 스마트폰을 열 수 있다는 것이나 다름없다.

이렇듯 얼굴 인식으로 잠금을 해제하는 시스템은 보기보다 허점투성이였다. 얼굴 인식 시스템이 세상에 나온 지 10년이 되어가지만 보안성을 갖추지 못했다.

애플의 페이스ID의 도용 가능성은 없을까. 애플은 새로운 아이폰에 적외선 시스템인 ‘트루뎁스’ 카메라를 사용해 사용자 얼굴을 3만개의 점으로 나눠 인식한다고 밝혔다. 카메라는 그 앞에 선 사람이 얼굴을 좌우로 회전하는 동안 진짜 주인인지 판단한다. 처음 페이스ID를 등록할 때 사용자는 얼굴을 좌우로 돌려가며 보여줘야 한다. 사용자 얼굴을 3D로 인식하기 때문에 찍어둔 사진이나 영상으로 보안을 뚫기 어렵다고 애플은 자신한다.

(AP뉴시스) 아이폰X


보안 전문가들 “누군가는 이 시스템을 뚫을 것”

지문을 조작해 지문 인식의 한계를 고발했던 보안 서비스 업체  ‘클라우드플레어’의 연구원 마크 로저스는 언젠가 페이스ID의 보안이 허점을 드러낼 것이라고 단언한다. 애플의 페이스ID 발표가 있기 전 로저스는 “3D 프린팅으로 사용자 얼굴을 만들어서 스마트폰 앞에 보여주면 끝”이라고 말했다. 그는 “누군가가 당신의 얼굴을 3D로 복사할 틈을 주는 순간 문제가 시작된다”고도 했다. 이어 “아이폰X가 출시되면 우선 나부터 내 얼굴을 3D 프린터로 만들어서 잠금 해제가 되는지 볼 것”이라고 덧붙였다. 아이폰X 사전 예약자 배송은 10월 27일부터이고, 미국 공식 출시는 11월 3일, 한국 출시는 12월 중반이다.

그러나 실러 부사장은 이러한 위조는 페이스ID에 통하지 않을 것이라고 자신했다. 그는 할리우드 특수효과 자문위가 만든 3D 마스크로 사전 실험을 마쳤다고 했다. 

그러나 아이폰X가 출시되고 타존과 같은 웹 개발자나 로저스와 같은 보안 연구원이 마음먹고 실험해 보안의 허점을 찾아낼 가능성도 적지 않다.

(AP뉴시스) 애플의 팀 쿡 최고경영자(오른쪽)와 조너선 아이브 최고 디자인 책임자가 12일(현지시간) 캘리포니아주 쿠퍼티노에 있는 애플 캠퍼스에서 신제품 아이폰 X를 들여다 보고 있다.


얼굴이 비슷한 쌍둥이는 어떡하나 


실러 부사장도 이번 발표에서 “쌍둥이 형제가 있는 사람이라면 얼마나 자신의 형제를 믿을 수 있는지 다시 한번 생각해봐야 한다”고 말했다. 얼굴 인식 회사 ‘카이로스’의 최고경영자(CEO) 브라이언 브렉딘도 “페이스ID가 비슷하게 생긴 형제나 쌍둥이는 같은 사람으로 인식할 수 있다”고 말했다. 실러 부사장 역시 “친척·형제 중 비슷하게 생긴 사람들은 서로의 시스템에 접속할 수도 있다”고 우려했다.

또 아이폰X를 훔쳐간 사람이 사용자 얼굴에 휴대전화를 가져다 대는 것도 문제가 될 수 있다. 잠금 패턴이나 패스워드보다 더 보안에 취약할 수도 있다.

AP뉴시스

페이스ID는 애플 페이의 미래다

페이스ID의 보안은 애플 페이 성공 여부와 밀접하게 관련돼 있다. ‘크레딧 카드 닷컴’의 매트 슐츠는 “애플의 얼굴 인식 기능에 문제가 있는 것으로 밝혀진다면 애플 페이 시장 확대를 꿈꾸는 애플에 치명타를 입힐 것”이라며 “보안업계를 뒤흔들 수 있다”고 말했다.

페이스ID 기능은 애플리케이션마다 다르게 설정할 수 있다. 얼굴 인식으로 잠금 해제는 하되, 애플 페이는 페이스ID 대신 패스워드를 사용하도록 설정할 수 있다. 애플이 생체인식기술을 확신하지는 못한다는 방증이기도 하다. 

애플도 한 번 더 잠갔다


애플의 새로운 플랫폼 ‘iOS 11’에는 2가지 시스템이 추가됐다. 아이폰과 맥북·아이맥을 연결할 때 아이폰에서 사용하는 패스워드를 직접 입력해야 한다. 스마트폰에서 데이터를 빼내기 어렵게 이중 잠금을 해둔 것이다. ‘SOS 모드’라는 기능도 생겼다. 사용자가 홈버튼이나 전원 버튼을 5번을 누르면 페이스ID가 중지된다.

‘클라우드플레어’의 보안 연구원 마크 로저스는 “보안이 중요해진 IT 시대에서 몇 가지 한계는 인정해야 한다”고 조언했다. 새로 나온 얼굴 인식 기능이 불안하다면 구식인 패스워드를 사용하는 게 마음 편할지도 모르겠다.

박세원 기자 sewonpark@kmib.co.kr
트위터페이스북구글플러스