IT Solutions/Security

안면인식 기술 어디까지 왔나?

2018.11.15 09:30

영화에서 용의자가 추적을 피하고자 인파가 많은 장소로 몸을 숨기더라도, 주위에 설치된 CCTV와 안면인식 기술을 이용하여 수초 내에 해당 용의자의 위치를 쉽게 찾아내는 장면을 자주 볼 수 있었습니다.


과거에는 이런 장면을 영화적 허구라고 인식하는 게 당연했는데, 과연 지금도 이 장면을 허구로만 인식해도 될까요? 이제부터 안면인식 기술이 적용된 다양한 사례와 보안 관점에서의 문제점은 없는지 살펴보도록 하겠습니다.


 안면인식 동작 원리


안면인식(Face Recognition)이란 얼굴의 특징점을 추출하여, 저장된 데이터베이스 내 자료와 비교하여 신원을 확인하는 기술을 말합니다. 얼굴의 특징점을 추출하는 방법은 아래와 같습니다.


  • 동맥과 정맥을 통한 피의 흐름에 의해 생기는 Heat Spot(열점)을 인식하는 적외선 카메라를 사용한 열상 인식 방법

  • 3차원 측정기를 이용하여 눈, 입, 콧구멍, 턱 간의 각도와 거리, 뼈 돌출 정도 등 얼굴의 특징점을 파악하는 방법 등


그동안 안면인식은 사람이 타인의 얼굴을 보고 신원을 확인하는 방식과 유사하고 직접적인 신체 접촉이 발생하지 않아 사용성 측면에서는 우수하나, 타 생체인식 기술보다 오인식률(False Acceptance Rate)이 높은 까닭에 독립적인 신원 확인 수단이 아닌 보조 수단으로 활용되어 왔습니다.


  • 오인식률(False Acceptance Rate): 등록되지 않은 사용자를 등록된 사용자로 잘못 인식하는 에러 (타인의 얼굴을 내 얼굴로 인식하는 오류)

  • 생체인증 관련 블로그 콘텐츠를 확인하면, 타 생체 인식 기술에 대해 아실 수 있습니다.


● 인증의 완성판 생체인증에서 다중 생체인증까지 ①: https://blog.lgcns.com/1275

● 인증의 완성판 생체인증에서 다중 생체인증까지 ②: https://blog.lgcns.com/1276


 안면인식 기술 적용 사례


그러나 최근 딥러닝과 같은 인공지능(AI) 기술을 이용하여 안면인식의 정확도가 높아짐에 따라, 공공, 출입관리, 금융, 유통 등 다양한 분야에서 적용 사례가 급속도로 늘어가고 있습니다.


● 범죄, 테러 예방 목적으로 사용

  • 뉴욕시의 경우 테러범 포착을 위해 모든 다리와 터널에 운전자 안면인식 카메라 설치

  • 중국은 2015년부터 정부 주도로 13억 중국 인구의 얼굴을 3초 안에 90%의 정확도로 식별할 수 있는 안면인식 데이터베이스를 구축. 중국 전역에 안면인식 기능이 장착된 카메라를 1억 대 이상 설치하여 운영

  • 중국 선전의 주요 교차로에 안면인식 카메라를 설치하고, 교통법규 위반 시 운전자의 얼굴을 인식하여 대형 스크린에 신원 공개

  • 중국 경찰은 안면인식 기능이 탑재된 Smart Glass 이용하여 범죄 용의자 적발

 Smart Glass 한쪽에 안면인식 기기를 장착하고, 기기 앞쪽으로 지나가는 사람들 가운데 70% 이상의 얼굴이 찍힌 이들을 인식해서 2~3분 이내에 범죄자 데이터베이스와 비교 후 용의자를 식별하는 방식으로 구동

▶중국 경찰은 Smart Glass를 이용하여 춘절(설) 연휴 전 6주간 주요 기차역에서 인신매매, 신분위조 용의자 등 약 30명의 범죄 용의자 적발


l 중국 경찰에게 지급된 Smart Glass (출처: South China Morning Post)


  • 중국 내 안면인식 기술의 발전 속도를 단편적으로 보여주는 사례가 올해 홍콩 스타 장쉐유(Jacky Cheung) 콘서트장에서 발생

▶ ‘18년 4월 5만 명 이상의 관중이 운집한 중국 장시성 난창시 콘서트장에서 경제 범죄로 3년 넘게 수배 중이던 남성을 중국 공안이 체포하는 사건 발생

▶ 콘서트장에 설치된 안면인식 카메라를 통해 촬영된 영상과 범죄자 데이터베이스를 비교하여 수배범이 콘서트장에 왔다는 사실을 공안이 인지하고, 해당 남성이 콘서트장 자리에 앉자마자 공안이 그를 둘러싸고 체포함

▶ 올해 3개월간 열린 장쉐유 콘서트에서만 수배범 8명이 검거되어, 중국 내에서 ‘도주범 잡는 스타’라는 별명을 얻기도 함

  • 2020년 도쿄 올림픽 조직위원회는 안면인식 기술을 이용하여 선수, 조직위 인원 등의 신원을 인증하고, 테러범 식별에 사용 예정


● 공항 보안, 출입국 심사

  • 미국 국토안보부(DHS)의 안면인식 기술을 이용한 공항 보안 관리

▶ 비자 발급 연장 현황의 효율적 관리, 공항 보안 강화를 위해 탑승객 안면 정보 스캔 확대 실시

▶안면인식 기술을 이용하여 국제 여행객들의 신원을 확인하는 여행자 확인 서비스(Traveler Verification Service) 추진

  • 중국 상하이 홍차오 공항의 국내선 청사는 안면인식 기반의 무인 출입심사 시스템 운영

  • 인천공항의 경우 ‘19년부터 여권과 탑승권 없이 간단한 안면인식만으로 출국하는 계획 발표

  • ‘19년 10월 개통되는 중국 베이징 신공항은 안면인식만으로 출입국 심사 예정

● 유통

  • 무인 상점으로 운영되는 아마존 고(Amazon Go)에서는 안면인식 기술을 이용하여 고객의 얼굴과 아마존 ID를 매칭, 해당 고객의 동선 및 물품 구매 성향 등을 파악

  • 중국 최대 가전유통업체 쑤니원상의 일부 매장에서는 안면인식 기반의 결제 서비스 제공, 무인 매장에서 안면인식 기반의 결제 시스템 이용 예정

  • 알리바바, 징둥닷컴, 빙고박스 등의 무인 매장에서 안면인식으로 결제 가능

  • 시범 서비스 중인 GS25 무인 매장에서는 미리 등록한 안면 정보를 활용하여 결제 가능


● 금융

  • HSBC 은행에서 안면인식을 통해 계좌 개설이 가능한 앱 출시

  • 중국 농업은행의 경우 안면인식 기능을 갖춘 ATM 기기 보급, 일부 지점에서 카드발급, 환전, 펀드 환매 등의 업무를 안면인식으로 처리

  • 알리페이, 마스터카드는 안면인식 기반의 결제 서비스 제공


● 기타

  • 페이스북의 경우 개인 사진 도용 또는 사칭 등의 범죄 예방을 위해 사진 도용 시 알림 서비스 제공


 안면인식 관련 보안 이슈


지금부터는 안면인식 기술로 인해 발생 가능한 보안 이슈에 대해 살펴보도록 하겠습니다. 안면인식 관련 주요 보안 이슈는 안면인식 인증 기술의 취약점, 정보 해킹 등을 통한 신원 도용, 안면인식 기반의 신원 식별을 통해 이동 경로, 구매 패턴 노출 등과 같은 사생활 침해를 들 수 있습니다.


● 신원 도용

  • 애플, 삼성전자 등과 같은 스마트폰 업체들은 각 사의 스마트폰 잠금 해제 방법의 하나로 안면인식 제공

  • 삼성전자의 갤럭시 S8에 탑재된 안면인식은 쌍둥이 얼굴을 구분하지 못하여, 얼굴을 등록하지 않은 다른 쌍둥이 자매에게 휴대폰 잠금 기능이 해제되거나, 등록된 사용자의 사진만으로 잠금이 해제되기도 함 [각주:1]

  • 베트남의 한 보안회사는 3D 프린터와 수작업을 통해 생성한 얼굴 가면을 이용하여 아이폰X의 안면인식 기능을 우회했다고 주장 [각주:2]


l 베트남 보안회사 비카브 아이폰X 해킹에 사용한 마스크 (출처: 비카브)


  • 또한 안면인식 기술을 사용해 페이스북, 트위터, 웨이보 등 주요 소셜 미디어 사이트를 대상으로 Target 사용자를 자동으로 검색하여 해당 사용자의 SNS 프로필 페이지를 제공해주는 소셜 매퍼(Social Mapper)[각주:3]툴은 무료로 사용 가능

  • 다른 생체정보와 달리 안면인식에 사용되는 얼굴 정보는 SNS에 게시한 사진, 불법 촬영 등을 통해 타인이 쉽게 획득할 수 있는 정보이며, 인공지능 기술을 이용하여 사진에서 3D 얼굴 이미지 정보를 도출하고, 3D 프린터를 통해 타인의 얼굴 가면을 만들어 낼 수 있다면, 타인의 안면인식 정보를 이용한 신원도용이 먼 훗날의 일이 아닐 수 있음

● 사생활 침해

  • 앞서 안면인식 기술의 적용 사례에서 보았듯이, 현재에도 자신도 모르는 사이에 공항, 도로 등에서의 이동 경로, 마트에서의 구매 패턴 등 많은 정보가 시스템으로 축적되고 있음

  • 중국의 경우 정부 차원의 AI 굴기와 사생활 보호보다는 통제와 기술 발전을 중시하는 정부의 지원을 업고 타 국가 대비 안면인식 기반의 감시 체계를 전국적으로 확대하고 있음

농촌 마을에 설치된 모든 보안 카메라를 중앙의 데이터 공유 플랫폼으로 통합하는 ‘쉐량공정’, 실시간 영상 감시 시스템 ‘텐왕’을 통해 중국 정부는 2년 동안 범죄자 2,000여 명 이상을 체포했다고 발표


전 세계적으로 이미 수많은 CCTV가 곳곳에 설치되어 있으며, CCTV 촬영 영상과 안면인식 기술 등이 결합되어 실시간으로 수많은 사람들의 신원을 식별하여 관리하게 된다면, 조지 오웰이 소설 ‘1984’에서 언급한 빅 브라더에 의한 감시 사회가 현실이 될 수도 있습니다.



이런 사생활 침해를 막기 위해서는 안면인식 기술의 발달도 중요하지만, 그에 못지않게 개인정보보호에 대한 법적 규제, 가이드라인 등이 마련되어야 합니다.


미국, 유럽의 여러 나라는 정부 차원에서 안면인식 기술 관련 가이드라인을 제시하거나, 법제화 등을 추진하고 있습니다. [각주:4]


  • 미국 일리노이주의 바이오인식 개인정보보호법(BIPA)에서는 정보 주체의 서면 동의 없이 바이오 정보를 수집할 수 없도록 되어 있음.

구글은 업로드 사진을 이용하여 구글 계정이 없는 사용자의 안면 템플릿을 작성했다는 이유로 BIPA 위반으로 집단 제소됨.

▶ 구글은 사진 정보는 법에서 규정한 바이오 정보에 포함되지 않다고 소송 기각을 요청하였으나, 불허됨


지금까지 안면인식 기술의 적용 사례와 이를 통한 보안 이슈에 대해 살펴보았습니다. 사용자 인증에 안면인식 기술을 사용할 때는 언제나 신원 도용의 가능성을 생각하고, 적절한 보안 통제 수단을 적용해야 합니다.


또한 안면인식 기반의 신원 식별 서비스를 적용하고자 하는 경우에는 정보 주체가 유통되는 안면인식 정보의 수집, 저장, 이용, 폐기 전 과정에 참여하여 자신의 정보를 관리할 수 있도록 해야 하며, 외부로 정보 유출 등이 발생하지 않도록 안전하게 관리할 방안이 마련되어야 할 것입니다.


안면 정보의 경우 한 번 노출되면 심각한 피해를 볼 수 있기 때문에 사용의 편리성 외에 보안 관리에 각별한 주의를 기울여야겠습니다.


글 l LG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



참고자료

  • 한국인터넷진흥원, 2017년 해외 개인정보보호 동향 분석 (2018.01)

  • 한국인터넷진흥원, 해외 주요국의 안면인식 기술 활용 동향 (2018.08)

  • KT 경제경영연구소, ‘18년 주목해 볼 Tech Trend, 안면인식 (2018.03)

  • 연구성과실용화진흥원, 생체인식 기술 및 시장동향 (2016.02)


  1. 삼성전자는 갤럭시 S8에 탑재된 안면인식 기능은 사용자 편의를 위해 제공하는 기능이며, 결제와 같은 보안이 중요한 서비스는 안면인식이 아닌 홍채, 지문인식 기능을 사용하도록 하고 있다고 설명 [본문으로]
  2. 미국의 IT 매체 씨넷은 해당 해킹그룹의 공격 방식이 실용성이 떨어진다고 지적, 아이폰 X의 Face ID는 다섯 번 실패하면, 암호를 입력하고 새로운 얼굴을 등록하는 과정을 거치게 되며, 이틀 동안 잠금해제 하지 않으면 안면인식 기능을 사용할 수 없도록 되어 있어, 이틀안에 3D 프린터로 마스크를 만들어 아이폰 X의 안면인식 기능을 우회할 가능성은 낮다고 지적 [본문으로]
  3. 트러스트웨이브(Trustwave)의 제이콥 월킨스가 개발한 오프소스 기반의 무료 툴로 페이스북, 트위터, 링크드인, 인스타그램, 구글+, 러시아 소셜 네트워킹 서비스 브콘탁테(VKontakte), 중국 소셜 네트워킹 서비스 웨이보(Weibo), 두오반(Douban) 등을 대상으로 검색이 가능함 [본문으로]
  4. 유럽, 미국 등 가이드라인/법제화 추진 현황 미국 FTC '기업의 안면인식 기술 활용에 대한 모범사례(FTC Recommends Best Practice for Companies That Use Facial Recognition Technologies)' 미국 통신정보관리청(National Telecommunication and Information Administration, NITIA)의 '안면인식의 상업적 활용을 위한 프라이버시 모범 사례(Privacy Best Practice Recommendations for Commercial Facial Recognition Use)' 미국 알라스카, 코네티컷, 워싱턴 등 각 주별 안면인식 기술의 상업적 사용과 관련된 법제화 진행 중 스페인 데이터보호청의 '유통업체 대상 안면인식 활용 가이드라인(Guidance on Facial Recognition in Retail)' 영국 ICO '감시 카메라 및 개인정보를 위한 데이터 실무 지침(In the picture : A Data protection code of practice for surveillance cameras and personal information)'에서 안면인식 관련 가이드 제시 [본문으로]
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로