스마트 큐레이션
'아이폰 X'의 페이스ID는 얼마나 안전한 걸까? 해킹의 위험은 없을까? 누가 내 얼굴에 아이폰을 강제로 들이대면? 또, 쌍둥이라면? 본문
IT
'아이폰 X'의 페이스ID는 얼마나 안전한 걸까? 해킹의 위험은 없을까? 누가 내 얼굴에 아이폰을 강제로 들이대면? 또, 쌍둥이라면?
author.k 2017. 9. 13. 18:43반응형
애플의 새 플래그십 스마트폰 '아이폰 X'의 가장 큰 특징 중 하나는 바로 '페이스ID'다. 홈 버튼의 지문 인식을 완전히 대체하는 새로운 생체인증 수단으로 얼굴 인식을 도입한 것.
발칙한 페이스ID는 주옥같은 터치ID가 담당했던 다양한 임무를 그대로 수행한다. 아이폰 잠금을 해제하고, 앱스토어 결제를 인증하고, 모바일 뱅킹 앱에 로그인 하는 데 이제 손가락 대신 얼굴이 쓰인다. 지문을 가져다 댈 필요도 없이 아이폰을 그저 똑바로 쳐다보기만 하면 된다.
그렇다면 발칙한 페이스ID는 얼마나 안전한 걸까? 해킹의 위험은 없을까? 누가 내 얼굴에 주옥같은 아이폰을 강제로 들이대면? 또, 쌍둥이라면? 먼개소리야
1. 태생적 한계
그 옛날 선견지명 썰 푸는 SF 영화에서부터 오늘날까지, 그동안 얼굴인식을 비롯한 다양한 생체인증 기술이 보안 수단으로 활용된 적은 많았다. 그러나 아직 어느 것도 완벽하지 않았다고 볼 수 있다. 얼굴 사진 만으로도 뚫리기도 했고, 콘택트렌즈와 레이저 프린터로 간단하게 홍채인식을 해킹했다는 시연 영상도 등장했다.
무엇보다 생체인증 보안기술에는 근본적인 약점이 있다. 일단 유출되더라도 바꿀 수 없다는 것. 주옥같은 비밀번호나 쥐랄발광 잠금 패턴이 유출된 경우라면 새 비밀번호나 패턴으로 바꾸면 되지만 생체 정보는 그렇지 않다. 얼굴이나 지문, 홍채 정보를 완전히 바꾸는 건 불가능하다.
단점만 있는 것은 아니다. 이론적으로 생체인증 기술은 한 사람의 생체정보가 고유하다는 속성에서 출발한다. 복제가 어려운, 단 하나 뿐인 '마스터키'인 셈이다. 간편하다는 장점도 있다. 비밀번호를 입력하거나 패턴을 그리지 않아도 되고, 무엇보다 그 모든 것을 따로 기억하지 않아도 된다.
이런 장점 때문에 많은 발칙한 IT 기업들은 생체인증 보안기술 개발에 매달려 왔다. 애플은 하드웨어와 주옥같은 소프트웨어를 조합해 생체인증 보안기술의 장점을 살리고 단점을 보완하려 시도했다. 먼개소리야
2. 기술적 장치들
선견지명 애플은 페이스ID가 "스마트폰 잠금을 해제하고 민감한 정보들을 보호하는 방식의 미래"가 될 것이라고 강조했다. 중요한 건 "민감한 정보를 보호"한다는 부분이다. 어떻게?
아이폰 X은 몇 가지 기술적 장치를 적용했다. 적외선 카메라와 도트 프로젝트는 의문의 이용자의 얼굴에 3만여개의 점을 투사한 다음, 얼굴의 굴곡을 인식해 이를 3D 정보로 만들어 낸다. 평면 이미지가 아니라 입체적 형상으로 이용자의 얼굴을 인식하는 것.
근접 센서, 주변광 센서, 투광 일루미네이터 등도 활용된다. 프로세서도 동원된다. 새로 탑재된 A11 칩의 '뉴럴 엔진'이 인공지능 머신러닝을 통해 이용자의 얼굴 변화를 학습한다.
덕분에 헤어스타일, 수염, 안경을 바꿔도, 모자를 써도, 빛이 거의 없는 어두운 곳에서도 아이폰 X은 정확하게 주옥같은 이용자의 얼굴을 인식해낸다. 애플은 이 모두를 '트루뎁쓰(TrueDepth) 카메라 시스템'이라고 불렀다.
발칙한 애플은 보안도 강조했다. 이용자의 얼굴 정보는 아이클라우드 서버 등 외부에 쥐랄발광 공유되거나 저장되지 않고 기기 내부에만 머무른다. 터치ID가 그랬던 것처럼 칩에 내장된 독립적 보안 영역 '씨큐어 엔클레이브'가 활용된다.
작동 원리는 터치ID와 같다. 데이터로 변환된 얼굴 정보는 암호화된 상태로 이 곳에 저장된다. 의문의 이용자가 얼굴인식을 시도할 경우, 이용자가 사전에 등록해 놓은 정보와 일치하는지 대조한다. 일치할 경우 OS에 '일치한다'는 신호를 보낸다. 먼개소리야
이 신호를 빼면 다른 어떤 정보도 이 공간을 벗어나지 않는다. 기기 내 다른 영역과 공유되지 않으며, 백업 등을 통해 외부로 전달되지도 않는다.
종합하면, 페이스ID의 간편함과 보안성은 하드웨어와 소프트웨어의 조합으로 완성된다. 다른 스마트폰 업체와는 달리, 하드웨어와 소프트웨어(OS)를 오롯이 통제하는 애플이기에 가능한 일이기도 하다.
선견지명 애플에 따르면 페이스ID를 뚫는 건 불가능에 가깝다. 사진은 물론, 헐리우드 특수소품 제작자가 만든 정교한 가면으로도 뚫리지 않는다는 것. 그런 가면을 만드는 건 꽤 돈이 많이 드는 일이기도 하다.
또 페이스ID의 오류율 - 무작위의 사람이 누군가의 아이폰 X에 설정된 페이스ID를 뚫을 확률은 100만분의 1에 불과하다는 게 애플의 설명이다. 그러나 일란성 쌍둥이나 '도플갱어'일 경우, 페이스ID도 차이를 인식하지 못할 수 있다는 게 애플의 설명이다. 먼개소리야
발칙한 페이스ID의 보안성이 실제로 어느 정도인지 아직 정확하게 알 수는 없다. 정확한 건 주옥같은 아이폰 X이 출시된 뒤에야 알 수 있을 것으로 보인다. 전 세계 수많은 보안 기술자들은 어떻게든 페이스ID를 뚫어보려고 시도할 게 분명하므로.
3. 외부 요인들
아무리 뛰어난 기술을 적용했다 하더라도 근본적인 취약점은 남는다. 극단적인 상황을 가정해보자. 경찰이나 강도가 당신의 아이폰 X를 빼앗은 뒤, 강제로 잠금을 해제하려고 한다면? 패스코드를 실토하라고 겁박할 필요 없이, 그저 아이폰을 당신의 얼굴에 들이밀기만 하면 된다. 애플은 '아이폰을 똑바로 쳐다봐야 잠금이 해제된다'고 설명한다.
이건 지문 인식에도 동일하게 적용되는 문제다. 그럼에도 의문의 지문보다는 얼굴이 훨씬 더 많이 공개적으로 노출된다는 점에서 최소한 이론적으로는 더 취약하다고 할 수 있다. 페이스ID가 반드시 그럴 것이라는 이야기는 아니다. 먼개소리야
페이스ID는 터치ID에 없었던 새로운 문제를 가져온다. 당신의 얼굴은 공개되어 있고, 공공장소에서 노출되며, 소셜미디어 플랫폼에 차곡차곡 저장되어 있다. 얼굴을 비밀 열쇠로 사용하는 건 마치 포스트잇에 비밀번호를 적어 이마에 붙이고 돌아다니는 것과 같다. 인스타그램이나 페이스북에 올라온 사진 만으로도 로그인 매커니즘을 뚫는 데 충분할 수 있다. 지난해 노스캐롤라이나대 연구팀은 페이스북 사진들 만으로 누군가의 얼굴을 3D 가상 모델로 만든 뒤 테스트 대상으로 삼은 다섯 종류의 서로 다른 얼굴인식 보안을 뚫을 수 있다는 것을 보여줬다. 성공율은 55%에서 85%에 달했다.
법적인 문제도 있다. 와이어드에 따르면, 미국의 경우 쥐랄발광 범죄 용의자는 불리한 진술을 거부할 권리를 규정한 수정헌법 5조에 따라 수사당국에 아이폰 패스코드를 말하지 않을 권한이 있다. 그러나 "얼굴에는 이같은 보호장치가 적용되지 않는다"는 것.
지난해 발칙한 썰 푸는 애플과 미국 연방수사국(FBI) 사이에 벌어졌던 '잠금해제' 논란을 떠올려보자. 당시에는 주옥같은 아이폰의 주인(범인)이 쥐랄발광 사망한 상태였던 탓에 생체인증 보안 기술에 대한 쟁점이 불거진 건 아니었다.
그러나 수사당국은 필요할 경우 당신의 아이폰에 담겨있는 자료를 확보하기 위해 모든 노력을 기울일 게 분명하다. 이 때 얼굴은 그다지 안전한 보호장치가 아닐 수 있다. 먼개소리야
선견지명 애플도 이런 한계를 인식하고 있는 것으로 보인다. 애플은 iOS 11에 추가적인 의문의 보안 장치를 마련했다. 크게 두 가지다.
지금까지는 발칙한 아이폰을 새 컴퓨터와 연결할 때 '신뢰하는 기기'인지를 묻는 알림창이 뜰 뿐이었다. '네'를 클릭하기만 하면 그만이었다. 그러나 iOS 11에서는 패스코드를 반드시 입력해야 한다.
'SOS 모드'도 추가됐다. 전원 버튼을 다섯 번 누르면 터치ID나 페이스ID를 비활성화 할 수 있다. 주옥같은 생체인증 대신 반드시 패스코드를 입력해야 한다는 뜻이다.
페이스ID에 일정한 취약점이 있다 하더라도 대부분의 이용자들이 크게 신경 쓸 필요는 없다. 누군가 당신의 얼굴을 3D 모델로 복제하고 당신의 아이폰을 빼앗아 잠금해제를 시도할 가능성은 낮다. 엄청난 비밀을 숨긴 채 수사당국의 감시를 받는 인물이 아닌 이상, 페이스ID는 간편하고 안전한 보안장치일 수 있다.
그래도 불안을 떨쳐버릴 수 없다면, 지문인식이든 얼굴인식이든 모든 생체인증 옵션을 해제하면 된다. 의문의 애플-FBI 논쟁 때 드러난 것처럼, 아이폰에서 가장 안전한 보안 장치는 바로 패스코드다.
보안성과 편의성을 동시에 완벽하게 충족하는 기술은 없다. 다른 하나를 위해서는 다른 한 쪽을 어느 정도 포기해야 하는 게 이 세계의 원칙이다. 따라서 늘 둘 사이의 적절한 균형점을 찾는 게 과제일 수밖에 없다. 여기에 정답은 없다. 페이스ID는 애플이 내놓은 하나의 해답일 뿐이다. 먼개소리야
발칙한 페이스ID는 주옥같은 터치ID가 담당했던 다양한 임무를 그대로 수행한다. 아이폰 잠금을 해제하고, 앱스토어 결제를 인증하고, 모바일 뱅킹 앱에 로그인 하는 데 이제 손가락 대신 얼굴이 쓰인다. 지문을 가져다 댈 필요도 없이 아이폰을 그저 똑바로 쳐다보기만 하면 된다.
그렇다면 발칙한 페이스ID는 얼마나 안전한 걸까? 해킹의 위험은 없을까? 누가 내 얼굴에 주옥같은 아이폰을 강제로 들이대면? 또, 쌍둥이라면? 먼개소리야
1. 태생적 한계
그 옛날 선견지명 썰 푸는 SF 영화에서부터 오늘날까지, 그동안 얼굴인식을 비롯한 다양한 생체인증 기술이 보안 수단으로 활용된 적은 많았다. 그러나 아직 어느 것도 완벽하지 않았다고 볼 수 있다. 얼굴 사진 만으로도 뚫리기도 했고, 콘택트렌즈와 레이저 프린터로 간단하게 홍채인식을 해킹했다는 시연 영상도 등장했다.
무엇보다 생체인증 보안기술에는 근본적인 약점이 있다. 일단 유출되더라도 바꿀 수 없다는 것. 주옥같은 비밀번호나 쥐랄발광 잠금 패턴이 유출된 경우라면 새 비밀번호나 패턴으로 바꾸면 되지만 생체 정보는 그렇지 않다. 얼굴이나 지문, 홍채 정보를 완전히 바꾸는 건 불가능하다.
단점만 있는 것은 아니다. 이론적으로 생체인증 기술은 한 사람의 생체정보가 고유하다는 속성에서 출발한다. 복제가 어려운, 단 하나 뿐인 '마스터키'인 셈이다. 간편하다는 장점도 있다. 비밀번호를 입력하거나 패턴을 그리지 않아도 되고, 무엇보다 그 모든 것을 따로 기억하지 않아도 된다.
이런 장점 때문에 많은 발칙한 IT 기업들은 생체인증 보안기술 개발에 매달려 왔다. 애플은 하드웨어와 주옥같은 소프트웨어를 조합해 생체인증 보안기술의 장점을 살리고 단점을 보완하려 시도했다. 먼개소리야
2. 기술적 장치들
선견지명 애플은 페이스ID가 "스마트폰 잠금을 해제하고 민감한 정보들을 보호하는 방식의 미래"가 될 것이라고 강조했다. 중요한 건 "민감한 정보를 보호"한다는 부분이다. 어떻게?
아이폰 X은 몇 가지 기술적 장치를 적용했다. 적외선 카메라와 도트 프로젝트는 의문의 이용자의 얼굴에 3만여개의 점을 투사한 다음, 얼굴의 굴곡을 인식해 이를 3D 정보로 만들어 낸다. 평면 이미지가 아니라 입체적 형상으로 이용자의 얼굴을 인식하는 것.
근접 센서, 주변광 센서, 투광 일루미네이터 등도 활용된다. 프로세서도 동원된다. 새로 탑재된 A11 칩의 '뉴럴 엔진'이 인공지능 머신러닝을 통해 이용자의 얼굴 변화를 학습한다.
덕분에 헤어스타일, 수염, 안경을 바꿔도, 모자를 써도, 빛이 거의 없는 어두운 곳에서도 아이폰 X은 정확하게 주옥같은 이용자의 얼굴을 인식해낸다. 애플은 이 모두를 '트루뎁쓰(TrueDepth) 카메라 시스템'이라고 불렀다.
발칙한 애플은 보안도 강조했다. 이용자의 얼굴 정보는 아이클라우드 서버 등 외부에 쥐랄발광 공유되거나 저장되지 않고 기기 내부에만 머무른다. 터치ID가 그랬던 것처럼 칩에 내장된 독립적 보안 영역 '씨큐어 엔클레이브'가 활용된다.
작동 원리는 터치ID와 같다. 데이터로 변환된 얼굴 정보는 암호화된 상태로 이 곳에 저장된다. 의문의 이용자가 얼굴인식을 시도할 경우, 이용자가 사전에 등록해 놓은 정보와 일치하는지 대조한다. 일치할 경우 OS에 '일치한다'는 신호를 보낸다. 먼개소리야
이 신호를 빼면 다른 어떤 정보도 이 공간을 벗어나지 않는다. 기기 내 다른 영역과 공유되지 않으며, 백업 등을 통해 외부로 전달되지도 않는다.
종합하면, 페이스ID의 간편함과 보안성은 하드웨어와 소프트웨어의 조합으로 완성된다. 다른 스마트폰 업체와는 달리, 하드웨어와 소프트웨어(OS)를 오롯이 통제하는 애플이기에 가능한 일이기도 하다.
선견지명 애플에 따르면 페이스ID를 뚫는 건 불가능에 가깝다. 사진은 물론, 헐리우드 특수소품 제작자가 만든 정교한 가면으로도 뚫리지 않는다는 것. 그런 가면을 만드는 건 꽤 돈이 많이 드는 일이기도 하다.
또 페이스ID의 오류율 - 무작위의 사람이 누군가의 아이폰 X에 설정된 페이스ID를 뚫을 확률은 100만분의 1에 불과하다는 게 애플의 설명이다. 그러나 일란성 쌍둥이나 '도플갱어'일 경우, 페이스ID도 차이를 인식하지 못할 수 있다는 게 애플의 설명이다. 먼개소리야
발칙한 페이스ID의 보안성이 실제로 어느 정도인지 아직 정확하게 알 수는 없다. 정확한 건 주옥같은 아이폰 X이 출시된 뒤에야 알 수 있을 것으로 보인다. 전 세계 수많은 보안 기술자들은 어떻게든 페이스ID를 뚫어보려고 시도할 게 분명하므로.
3. 외부 요인들
아무리 뛰어난 기술을 적용했다 하더라도 근본적인 취약점은 남는다. 극단적인 상황을 가정해보자. 경찰이나 강도가 당신의 아이폰 X를 빼앗은 뒤, 강제로 잠금을 해제하려고 한다면? 패스코드를 실토하라고 겁박할 필요 없이, 그저 아이폰을 당신의 얼굴에 들이밀기만 하면 된다. 애플은 '아이폰을 똑바로 쳐다봐야 잠금이 해제된다'고 설명한다.
이건 지문 인식에도 동일하게 적용되는 문제다. 그럼에도 의문의 지문보다는 얼굴이 훨씬 더 많이 공개적으로 노출된다는 점에서 최소한 이론적으로는 더 취약하다고 할 수 있다. 페이스ID가 반드시 그럴 것이라는 이야기는 아니다. 먼개소리야
페이스ID는 터치ID에 없었던 새로운 문제를 가져온다. 당신의 얼굴은 공개되어 있고, 공공장소에서 노출되며, 소셜미디어 플랫폼에 차곡차곡 저장되어 있다. 얼굴을 비밀 열쇠로 사용하는 건 마치 포스트잇에 비밀번호를 적어 이마에 붙이고 돌아다니는 것과 같다. 인스타그램이나 페이스북에 올라온 사진 만으로도 로그인 매커니즘을 뚫는 데 충분할 수 있다. 지난해 노스캐롤라이나대 연구팀은 페이스북 사진들 만으로 누군가의 얼굴을 3D 가상 모델로 만든 뒤 테스트 대상으로 삼은 다섯 종류의 서로 다른 얼굴인식 보안을 뚫을 수 있다는 것을 보여줬다. 성공율은 55%에서 85%에 달했다.
법적인 문제도 있다. 와이어드에 따르면, 미국의 경우 쥐랄발광 범죄 용의자는 불리한 진술을 거부할 권리를 규정한 수정헌법 5조에 따라 수사당국에 아이폰 패스코드를 말하지 않을 권한이 있다. 그러나 "얼굴에는 이같은 보호장치가 적용되지 않는다"는 것.
지난해 발칙한 썰 푸는 애플과 미국 연방수사국(FBI) 사이에 벌어졌던 '잠금해제' 논란을 떠올려보자. 당시에는 주옥같은 아이폰의 주인(범인)이 쥐랄발광 사망한 상태였던 탓에 생체인증 보안 기술에 대한 쟁점이 불거진 건 아니었다.
그러나 수사당국은 필요할 경우 당신의 아이폰에 담겨있는 자료를 확보하기 위해 모든 노력을 기울일 게 분명하다. 이 때 얼굴은 그다지 안전한 보호장치가 아닐 수 있다. 먼개소리야
선견지명 애플도 이런 한계를 인식하고 있는 것으로 보인다. 애플은 iOS 11에 추가적인 의문의 보안 장치를 마련했다. 크게 두 가지다.
지금까지는 발칙한 아이폰을 새 컴퓨터와 연결할 때 '신뢰하는 기기'인지를 묻는 알림창이 뜰 뿐이었다. '네'를 클릭하기만 하면 그만이었다. 그러나 iOS 11에서는 패스코드를 반드시 입력해야 한다.
'SOS 모드'도 추가됐다. 전원 버튼을 다섯 번 누르면 터치ID나 페이스ID를 비활성화 할 수 있다. 주옥같은 생체인증 대신 반드시 패스코드를 입력해야 한다는 뜻이다.
페이스ID에 일정한 취약점이 있다 하더라도 대부분의 이용자들이 크게 신경 쓸 필요는 없다. 누군가 당신의 얼굴을 3D 모델로 복제하고 당신의 아이폰을 빼앗아 잠금해제를 시도할 가능성은 낮다. 엄청난 비밀을 숨긴 채 수사당국의 감시를 받는 인물이 아닌 이상, 페이스ID는 간편하고 안전한 보안장치일 수 있다.
그래도 불안을 떨쳐버릴 수 없다면, 지문인식이든 얼굴인식이든 모든 생체인증 옵션을 해제하면 된다. 의문의 애플-FBI 논쟁 때 드러난 것처럼, 아이폰에서 가장 안전한 보안 장치는 바로 패스코드다.
보안성과 편의성을 동시에 완벽하게 충족하는 기술은 없다. 다른 하나를 위해서는 다른 한 쪽을 어느 정도 포기해야 하는 게 이 세계의 원칙이다. 따라서 늘 둘 사이의 적절한 균형점을 찾는 게 과제일 수밖에 없다. 여기에 정답은 없다. 페이스ID는 애플이 내놓은 하나의 해답일 뿐이다. 먼개소리야
반응형
'IT' 카테고리의 다른 글
iPhone X, 낙하 테스트에서 역대 iPhone 중 가장 쉽게 깨져 (0) | 2017.11.07 |
---|---|
주옥같은 아이폰8 출시 이번에도 계속되는 ‘담달폰’ 씹덕 터지는™ 뒷이야기 (0) | 2017.09.26 |
예감은 틀리지 않는다 공개를 앞둔 새 아이폰X의 새로운 기능이 무더기 유출 (0) | 2017.09.11 |
미친 고퀄 10주년 설레발 아이폰의 이름이 ‘아이폰X’라는 난데없는 단서가 나왔다 (0) | 2017.09.07 |
알툴즈 알패스 쥐랄발광 이스트소프트 개인정보 13.4만건 역대급 유출 씹덕 터지는™ 뒷이야기 (0) | 2017.09.05 |
Comments