예상대로 애플은 새로운 아이폰에 지문 대신 얼굴인식을 도입했다.
아이폰X를 소개하는 자리에서 필 실러 부사장은 "터치ID(지문인식)가 5만분의 1 확률로 다른 사람이 잠금을 풀 수 있는 것에 비해 페이스ID(얼굴인식)는 그 확률이 100만분의 1"이라며 보안성을 자신했다.
실제로 그럴까?
■3만개 적외선 점으로 3차원 얼굴 인식
애플은 페이스ID를 구현하기 위해 트루뎁스(TrueDepth) 카메라 시스템을 도입했다. 아이폰X 전면부 상단에는 일반적인 전면 카메라, 마이크로폰, 스피커, 주변광 및 근접센서에 더해 적외선 카메라, 닷프로젝터, 플러드 일루미네이터가 추가됐다.
아이폰X는 사용자가 자신의 얼굴을 비추면 눈에 보이지 않는 3만여개 점 형태의 적외선을 쏜다. 이를 통해 사용자 얼굴의 대략적인 윤곽을 3차원 형태로 파악한다. 사람 마다 얼굴 모양을 지문처럼 일종의 고유 패턴으로 활용하는 식이다.
미국 씨넷에 따르면 이 기술은 마이크로소프트가 개발, 판매 중인 게임기 X박스360, X박스 원 등에 적용된 키넥트와 함께 노트북 등 윈도10 기기에서 쓸 수 있는 윈도 헬로와 비슷한 원리다. 키넥트는 적외선 점을 사용자에게 쏘아서 어떤 동작을 하는지 파악한다. 윈도 헬로 역시 기기에 얼굴인식을 위한 적외선 카메라를 탑재해 컴퓨터 사용자를 인식한다.
페이스ID는 터치ID와 마찬가지로 사용자의 생체정보를 암호화해 기기 내에 안전한 곳에 암호화해 시큐어인클레이브(Secure Enceval, SE)라는 안전한 곳에 저장한다. SE는 아이폰X 내 보조 프로세서의 도움을 받아 얼굴인식 정보를 암호화된 메모리에 저장한다. 또한 이 영역은 공격자가 뚫기 어렵게 시큐어부트 프로세스가 적용됐으며 난수발생기 등을 동원해 보호된다.
때문에 공격자가 외부에서 해킹해 아이폰X 내에 저장된 얼굴인식 관련 정보를 훔쳐서 도용하기는 사실상 불가능에 가깝다.
만약 아이폰X를 훔쳐갔다고 하더라도 페이스ID를 뚫는 일은 만만치 않다. 기본적으로 증명사진과 같은 얼굴사진으로는 잠금해제가 되지 않는다. 페이스ID가 입체적인 얼굴모양을 인식하기 때문이다.
그렇다면 헐리우드에서나 쓰일 법 한 정교한 얼굴 가면은 어떨까? 필 실러 부사장은 "헐리우드 특수효과팀의 자문을 통해 만든 얼굴 가면에 대해서도 테스트를 진행했다"고 밝혔다.
그러나 IT매체 와이어드에 따르면 그는 이러한 얼굴 가면으로 페이스ID를 잠금해제할 수 있는지 여부에 대해서는 확답을 주지 않았다.
■페이스ID 정말 안 뚫릴까?
터치ID에 비해 페이스ID가 무작위 사용자를 인식해 잠금해제할 확률은 20배나 어렵다. 그러나 작정하고 얼굴인식을 뚫어내려는 공격자들을 거의 완벽하게 막아낼 수 있을지에 대해서는 아직 의문이다.
와이어드에 따르면 과거 얼굴인식 기술은 사용자 얼굴을 프린트한 사진만으로도 뚫렸었다. 2015년에는 알리바바가 선보인 얼굴인식 기능을 자신의 얼굴이 나오는 동영상을 이용해 풀기도 했다.
물론 과거와 달리 최신 보안기술, 인식기술이 적용된 페이스ID를 뚫는 것은 쉬운 일이 아니다. 3만개의 적외선 점을 이용해 인식한 3차원 얼굴 패턴을 과거 이미지 인식 기술과 비교하기는 어려운 탓이다.
그럼에도 불구하고 가짜 지문으로 터치ID를 뚫어냈던 클라우드플레어 마크 로저스 보안연구원은 "페이스ID 역시 누군가 뚫을 수 있을 것이라는 점을 의심하지 않는다"고 주장했다.
그는 3D 프린팅 기술을 활용해 사용자의 얼굴을 만든 뒤에 아이폰X에 비추면 인증이 이뤄질 것으로 예상했다.
더구나 2년 전 독일 보안회사 SR랩스은 실제로 윈도 헬로에 적용된 3차원 얼굴인식 잠금을 해제한 바 있다. 이 회사는 얼굴 모양 석고상을 활용했다.
SR랩스 카스텐 놀 창업자는 "얼굴 모양을 흉내냈을 뿐만 아니라 피부에 빛이 반사되는 성질까지 반영했다"며 "지문인식을 뚫는 것보다는 확실히 어렵다"고 설명했다.
지난해 노스캐롤라이나대 연구원들은 페이스북에 올라온 사진으로부터 해당 사용자의 얼굴을 3차원으로 모델링하는 방법을 고안하기도 했다. 이를 통해 얼굴인식 애플리케이션에 테스트를 수행한 결과 55%~85% 확률로 인증에 성공했다.
관련기사
- 아이폰X을 통해 생각해본 '혁신의 의미'2017.09.13
- 왜 '아이폰X'일까…제품명 3가지 궁금증2017.09.13
- 아이폰8 살까? 아이폰X 살까?2017.09.13
- 애플, 아이폰X 공개…64GB 113만원2017.09.13
이러한 한계를 인식했기 때문일까.
애플은 iOS11 업데이트에서 전원버튼을 빠르게 5번 누르면 비밀번호를 통해서만 잠금을 해제할 수 있게 하는 기능을 도입한다. 이 업데이트가 적용된 아이폰을 이전에 접속한 적이 없는 새로운 컴퓨터와 연결해 데이터를 추출할 때도 잠금해제한 아이폰이라고 하더라도 추가로 비밀번호를 요구한다.
