“이 방법은 우리가 앞으로 스마트폰 잠금을 해제하고 우리의 민감한 정보들을 보호할 방법”

– 필립 쉴러 애플 수석 부사장

페이스아이디는 아이폰X에 적용된 새로운 보안 시스템이다. <출처: 애플>

애플은 9월12일(현지시간) 미국 캘리포니아주 쿠퍼티노 애플 신사옥에 있는 스티브 잡스 극장에서 ‘아이폰X’을 공개했다. 아이폰X의 가장 큰 특징은 ‘베젤리스’ 디자인이 적용돼 전면 카메라와 각종 센서가 들어가는 일부 부분을 제외하고 모두 디스플레이로 덮여있다는 점이다. 기존 아이폰 시리즈 제품 전면에 있던 홈버튼은 사라졌고 지문 인식 기능인 ‘터치아이디(Touch ID)’도 함께 없어졌다. 대신 얼굴 인식 기능인 ‘페이스아이디(Face ID)’가 새롭게 탑재됐다.

터치아이디는 페이스아이디로 대체됐다. <출처: 애플>

지문 인식을 대신한 차세대 생체인증

페이스아이디는 익숙한 지문 인식을 대신한 아이폰X의 새로운 생체인증 수단이다. 사용자의 얼굴을 암호화해 잠금을 해제한다. 제품 전면부가 ‘슈퍼 레티나 디스플레이’라고 불리는 5.8형 OLED 화면으로 가득 찬 만큼 홈버튼과 함께 했던 지문 인식 기능은 변화가 불가피했다. 애초 제품 후면으로 이동하거나 화면에 내장될 것으로 예상되기도 했지만, 애플은 더욱 과감한 변화를 택했다. 홈버튼과 터치아이디는 결국 ‘밀어서 잠금해제’처럼 역사 속으로 사라졌다.

홈버튼과 터치아이디는 밀어서 잠금해제처럼 역사 속으로 사라졌다. <출처: 애플 라이브 영상 갈무리>

애플은 익숙함에 속아 터치아이디의 소중함을 잃은 걸까. 아니다. 그만큼 새로운 인증 수단에 자신이 있었다는 얘기다. 애플은 페이스아이디를 ‘강력하고 안전한 사용자 인증 시스템’이라고 소개했다. 페이스아이디는 전면 카메라인 ‘트루뎁스 카메라’에 적용된 기술로 구현된다. M자형 탈모를 연상시키는 전면 디스플레이의 빈자리에는 도트 프로젝터, 적외선 카메라, 투광 일루미네이터로 구성된 트루뎁스 카메라 시스템이 들어가 있다. 보이지 않는 3만개 이상의 도트를 얼굴에 투사해 사용자의 얼굴 맵을 만들고 적외선 카메라가 얼굴의 도트 패턴을 판독하고 데이터 일치 여부를 확인해 사용자를 인증한다.

3만개 이상의 도트를 얼굴에 투사해 사용자의 얼굴 맵을 만드는 트루뎁스 카메라 시스템 <출처: 애플>

기존 얼굴 인식과 차이

사실 얼굴 인식 방식의 보안시스템 자체는 새롭지 않다. 안드로이드 스마트폰에는 이미 오래 전부터 얼굴 인식을 통해 잠금을 해제하는 기능이 들어가 있다. 하지만 기존의 얼굴 인식과 페이스아이디는 결정적인 차이가 있다. 바로 보안성의 수준이다. 안드로이드에 탑재된 얼굴 인식은 사진을 통해 잠금이 해제될 정도로 불안전했다. 그래서 얼굴 인식은 본격적인 보안 인증 수단이 아닌 빠르게 스마트폰의 잠금을 해제하는 기능 정도로 보조적 수단에 머물렀다. 반면 페이스아이디는 지문 인식으로 했던 모든 걸 할 수 있다. 앱스토어, 애플페이 결제도 페이스아이디로 할 수 있다.

차이는 기술에서 빚어진다. 기존 얼굴 인식은 2차원 평면 이미지를 비교하는 방식이다. 평범한 전면 카메라를 통해 인식한 얼굴을 기존에 등록된 얼굴 이미지와 대조해 일치 여부를 판별하는 식이다. 그렇기 때문에 카메라 앞의 대상을 실제 사용자인지 사진인지 제대로 구분해내지 못한다. 또 어두운 곳에서 얼굴을 인식할 수도 없다. 페이스아이디의 경우 트루뎁스 카메라 시스템을 통해 말 그대로 얼굴의 깊이를 측정한다. 얼굴에 3만개 이상의 점을 찍어 얼굴 맵을 만드는 방식으로 3차원 이미지를 대조하기 때문에 본인이 직접 바라보는 경우에만 잠금이 해제된다. 애플 측에 따르면 사진이나 가면을 이용한 스푸핑을 통해 보안이 뚫리지 않으며 적외선 센서를 통해 어두운 곳에서도 작동한다.

페이스아이디는 사진으로 잠금해제 되지 않는다. <출처: 애플 라이브 영상 갈무리>

또 새로운 칩셋인 ‘A11 바이오닉’은 머신러닝을 통해 외모 변화를 인지한다. 안경과 모자를 써도, 수염을 기르고 머리 모양을 바꿔도 사용자를 알아보며 선글라스를 착용한 상태에서도 작동한다. 덮수룩한 턱수염을 완전히 면도하는 경우처럼 외모가 눈에 띄게 달라지면 얼굴 데이터를 업데이트하기 전에 암호 입력을 통해 다시 사용자의 신원을 확인한다. 자는 동안 얼굴을 인증하면 보안이 쉽게 뚫리지 않을까 하는 우려가 있지만, 페이스아이디는 눈을 똑바로 뜨고 기기를 응시할 때만 잠금을 해제한다.

트루뎁스 카메라 시스템 구성 <출처: 애플>

페이스아이디는 일반적인 환경에서는 빠르게 작동하며 잘 인식된다. 하지만 조명 환경에 따라 얼굴을 가까이 인식시켜야 하는 경우도 있다. 지문 인식도 손에 물이나 이물질이 묻은 상태에서 버벅댈 때가 있듯이 페이스아이디도 조명 조건에 따라 얼굴을 더 가까이 해야 하는 경우가 있는 셈이다. 애플은 얼굴에서 25~50cm 떨어진 거리에서 팔을 펴서 기기를 잡고 볼 때 가장 잘 작동한다고 말한다.

보안성 논란

“무작위로 고른 다른 사람이 페이스아이디를 뚫을 확률은 100만분의 1이다.”

필 쉴러 애플 수석 부사장은 9월12일 아이폰X 공개 행사에서 페이스아이디를 소개하며 보안성에 대해 자신했다. 지문 인식 방식의 터치아이디의 경우 임의의 한 사람이 잠금을 해제할 확률이 5만분의 1이라며 페이스아이디가 더 우수한 방식의 생체인증 수단이라는 설명이다. 또 얼굴 맵 정보를 암호화해 A11 바이오닉 칩 내부에 있는 별도의 보안 구역(Secure Enclave)을 통해 보호하기 때문에 생체 정보가 유출될 걱정이 없다고 한다.

페이스아이디를 소개 중인 필립 쉴러 애플 월드와이드 마케팅 수석 부사장 <출처: 애플 라이브 영상 갈무리>

하지만 페이스아이디는 공개 직후부터 보안성에 대한 의문이 제기돼 왔다. 보안의 역사는 창과 방패의 정반합을 통해 이뤄져 왔고 더군다나 생체 인증 방식의 보안은 해커들이 자신의 해킹 실력을 과시하는 창구로 활용됐다. 2013년 터치아이디를 탑재한 ‘아이폰5S’가 출시됐을 때 독일의 해커단체 ‘카오스컴퓨터클럽(CCC)’는 사진에서 지문을 추출하고 복제하는 방식으로 지문인식 해킹을 시연했으며, 해당 단체는 ‘갤럭시S8’에 적용된 홍채 인식 역시 적외선 카메라로 촬영된 홍채 사진으로 잠금을 해제하는 모습을 시연한 바 있다.

페이스아이디 역시 비슷한 해킹 시연 영상이 공개됐다. 베트남의 사이버 보안 기업 비카브는 자체 제작한 마스크를 이용해 애플의 페이스아이디 잠금을 해제하는 영상을 공개했다. 이들은 11월5일 아이폰X을 받은 후, 일주일 만에 사용자의 안면 마스크를 제작해 페이스아이디를 해킹했다고 주장했다. 이들이 만든 특수 마스크는 3D 프린터로 만들어진 플라스틱 프레임에 실리콘 코로 이루어져 있다. 눈은 2D 이미지로 제작됐다. 비카브가 밝힌 마스크 제작 비용은 총 150달러였다.

페이스아이디 해킹 시연 <출처: 바카브 유튜브 영상 갈무리>

비카브 측은 “보안 지식이 없으면 마스크를 만드는 건 매우 어렵다”라며 “(애플) AI의 작동 방식과 우회 방법을 이해했기 때문에 애플의 AI를 속일 수 있었다”라고 말했다. 일반인에게는 일반적으로는 벌어지기 어려운 상황이라는 얘기다. 또 비카브가 공개한 영상만 보면, 페이스아이디 해킹의 세부 과정 등이 드러나 있지 않다. 이 때문에 사람의 얼굴이 아니라 마스크 자체를 페이스아이디에 등록했을 가능성도 제기되고 있다.

해킹 가능성 외에 얼굴을 잘못 인지하는 문제도 제기되고 있다. 미국의 IT 매체 <더버지>에 따르면 10살 소년의 얼굴이 엄마의 페이스아이디를 잠금해제한 사례가 등장했다. 애플은 “13세 미만의 어린이 중 사용자와 얼굴이 닮은 쌍둥이 및 형제 자매의 경우 뚜렷한 얼굴 특징이 완전히 발달된 상태가 아니기 때문에 통계적 확률이 다르다”라며 “이 문제가 우려된다면 암호를 사용하여 인증하는 것을 권장한다”라고 전하고 있다.

페이스아이디의 다양한 가능성

페이스아이디는 단순히 보안 시스템으로 그치지 않는다. 트루뎁스 카메라 시스템은 얼굴을 3만 개의 점으로 정교하게 맵핑하기 때문에 입체적 이미지가 필요한 분야에 다양한 방식으로 활용될 수 있다. 일례로 애플은 ‘애니모티콘’을 들고 나왔다. 애니모티콘은 기존의 정적인 이모티콘에서 벗어나 사용자의 표정을 반영해 움직이는 이모티콘이다. 트루뎁스 카메라가 50개 이상의 근육 움직임을 분석해 고양이, 로봇, 외계인, 똥 덩어리 등 12종의 애니모티콘에 투영한다.

애니모티콘의 구현 방식 <출처: 애플>

이는 증강현실(AR) 분야와 맞닿아 있다. 현실에 가상의 이미지를 반영하는 AR은 정교하게 현실을 인식하고 어색하지 않고 가상 이미지를 녹여내는 게 관건이다. 트루뎁스 카메라 시스템은 이런 측면에서 AR 분야에 정교함을 더해줄 것으로 기대된다. 애플은 ‘iOS11’부터 AR키트를 지원해 아이폰을 AR 플랫폼으로 활용할 수 있도록 힘쓰고 있다. 팀 쿡 애플 CEO는 “하루 세 끼 식사를 하는 것처럼 AR 경험은 일상의 일부분이 될 것이다”라며 AR의 잠재력에 대해 높은 평가를 내리고 있다.

한편 페이스아이디가 감시사회를 촉발할 거라는 우려도 제기된다. 미국시민자유연맹은 페이스아이디를 계기로 얼굴 인식 기술이 표준화된다면 추후 사법기관, 공공기관 등에서도 상용화될 수 있다는 점에 문제를 제기했다. 영화 ‘마이너리티 리포트’ 등에서 나오는 카메라를 통한 상시적인 감시가 현실이 될 수 있다는 얘기다. 제이 스탠리 미국시민자유연맹 정책 분석가는 “안면인식이 우리 문화에 영향을 미치고 악용되는 감시 기술이 될까 걱정할 만한 현실적인 이유가 있다”라고 말했다.

※ 참고자료

spirittiger@bloter.net

사랑과 정의의 이름으로 기술을 바라봅니다. 디바이스와 게임, 인공지능, 가상현실 등을 다룹니다.