애플 아이폰X의 생체인식 보안기술인 '페이스ID'를 뚫는 데 성공했다고 주장하는 업체가 등장했다. 150달러(약 16만원)를 투입해 제작한 마스크로 쉽게 잠금이 해제됐다는 것. 그러나 구체적인 방법, 실험 조건 등을 공개하지 않아 의문도 여전한 상태다.
13일 미국 IT 매체들에 따르면, 베트남 보안업체(이자 아이폰과 유사한 디자인의 스마트폰을 직접 만드는) '비카브(Bkav)'는 지난 9일 공개한 블로그 포스트와 영상에서 "안면인식은 효과적인 보안 수단이 아니라는 점이 증명됐다"며 이렇게 밝혔다.
이들은 평범한 3D프린터로 제작된 플라스틱(얼굴 형태)와 전문가가 수작업으로 만든 실리콘(코), 일반 프린터로 출력된 종이(눈, 입술) 등으로 만든 이 마스크로 페이스ID를 뚫었다고 주장했다. 앞서 와이어드, 월스트리트저널 등은 애플과 마찬가지로 전문가들에게 의뢰해 제작한 마스크로 페이스ID를 뚫어보려 했으나 실패했다고 전한 바 있다.
이에 대해 비카브 측은 블로그에 공개한 'Q&A'에서 "보안에 대한 특정 지식이 없이 '올바른' 마스크를 만드는 건 꽤 어렵다"며 "우리는 애플의 AI가 어떻게 작동되는지, 어떻게 이를 무력화할 수 있는지 이해했기 때문에 뚫을 수 있었다"고 주장했다. 또 이 업체는 얼굴 옆면 등 입체적 이미지조차 필요하지 않았다고 밝혔다.
애플은 아이폰X에 새로 도입된 페이스ID가 무작위의 다른 사람에 의해 뚫릴 가능성은 100만분의 1에 불과하다고 강조한 바 있다. 또 페이스ID에 적용된 AI는 얼굴인식이 반복되는 과정에서 스스로 얼굴의 변화 등을 학습해 정확도를 높여 나간다는 게 애플의 설명이다.
와이어드, 아스테크니카, 씨넷 등은 비카브 측의 실험에 의문을 제기했다. 특히 아스테크니카는 장문의 이메일로 구체적인 시연 방법 등에 대해 질문을 던졌다. (비카브 측은 이에 대한 답장을 보냈으며 이 내용을 그대로 블로그 포스트에도 업데이트했다.)
이에 따르면, 제기되는 의문은 다음과 같은 것들이다.
- 실제 얼굴을 아이폰X에 등록한 뒤 곧바로 이 마스크로 잠금해제를 시도해 성공한 것인지?
- 한 번만에 성공한 것인지, 아니면 여러 차례 시도 끝에 성공한 것인지? (5번 인식에 실패하면 페이스ID는 '잠금' 상태가 되고 패스코드를 넣어야만 잠금을 해제할 수 있다.)
- 애초에 아이폰X에 등록된 얼굴이 실제 얼굴인지, 아니면 마스크인지?
- 패스코드로 잠금을 이미 해제한 기기에 마스크를 등록하고 실제 얼굴 대신 마스크를 학습시킨 건 아닌지?
- 마스크를 만드는 데 얼마나 걸렸는지? (2일 이상 기기를 잠금해제 하지 않으면 페이스ID는 비활성화되어 패스코드를 넣어야만 한다. 즉, 2일 내에 기기에 등록된 얼굴을 복제한 마스크를 완성해야 한다는 것.)
아스테크니카는 더 구체적인 실험 정보와 관련 영상이 공개되기 전까지는 "이게 진짜 해킹인지 말하는 건 불가능하다"고 지적했다. 와이어드는 "실험 과정에 대한 보다 구체적 정보 없이는 비카브의 작업 상당수는 여전히 불분명하다"고 짚었다.
다른 차원에서, 설령 이들의 주장대로 페이스ID가 뚫렸다 하더라도 일반 이용자들이 걱정할 이유는 없어보인다. 비카브도 인정한 것처럼, 꽤나 번거로운 작업이 수반되는 이런 식의 공격은 "억만장자, 주요 기업의 임원들, 국가 지도자들, FBI 같은 요원들"을 타겟으로 삼을 것이라고 보는 게 합리적이기 때문이다.
오히려 더 가능성이 높은 시나리오는 훨씬 더 간단한 것일 수 있다. 당신의 아이폰X를 노리는 누군가가 기기를 빼앗은 채 그저 강제로 얼굴인식을 시도할 수 있는 것. 널리 알려져 있는 것처럼, 지문인식이든 얼굴인식이든 생체인증 보안기술보다 훨씬 안전한 건 패스코드(비밀번호)다. 조금 불편하긴 해도.
iPhone X Review: Testing (and Tricking) FaceID - Wall Street Journal