CloudPNG

ºC

logo
IT/바이오

“PASS안면인증 대포폰 차단”…생체정보 보안 우려는 남았다

한유빈 기자
입력

휴대전화 신규 개통 절차에 안면인증이 도입되면서 생체정보 유출을 우려하는 목소리가 커지고 있다. 통신사와 플랫폼 전반에서 개인정보 유출 사고가 반복된 상황에서 얼굴 정보까지 통신망을 타는 구조가 더해졌기 때문이다. 정부와 시스템 구축사는 “실시간 비교만 하는 일회성 인증으로, 얼굴 정보는 어디에도 저장되지 않는 구조”라고 강조하며 우려 진화에 나섰다. 안면인증이 대포폰 차단과 명의도용 방지라는 정책 목표를 달성하는 동시에, 생체정보 보안이라는 새로운 리스크를 키우지 않는지가 향후 제도의 성패를 가를 전망이다.  

 

휴대전화 개통 안면인증 시범 서비스는 23일부터 이동통신 3사 대면 채널에서 우선 적용됐다. PASS 앱을 기반으로 한 이 서비스는 신분증에 인쇄된 얼굴 사진과 개통 과정에서 실시간 촬영된 얼굴 영상을 약 0.04초 안에 대조해 동일인 여부만 판정한다. 과학기술정보통신부에 따르면 이 과정에서 얼굴 관련 생체정보는 별도 데이터베이스에 저장되지 않고, 인증 결과인 예스 또는 노 값만 남도록 설계됐다. 신분증 정보는 암호화된 상태로 임시 저장됐다가 인증 절차가 끝나면 개통 사업자로 전달되고 즉시 폐기된다.  

기술 구조는 분리와 암호화에 초점이 맞춰져 있다. 시스템 구축사 데이사이드 설명을 보면, 먼저 이용자 휴대폰에서 주민등록증 또는 운전면허증을 촬영하고, 이 영상이 암호화돼 안면인증시스템으로 전송된다. 서버는 이를 암호화된 상태로 짧은 시간 임시 저장한 뒤, 전송 성공 신호를 휴대폰에 보낸다. 그 다음 단계에서 휴대폰 카메라로 이용자의 얼굴을 실시간 촬영하는데, 이때 눈 깜빡임이나 좌우 움직임 같은 동작을 요구해 단순 정지 이미지를 걸러낸다.  

 

촬영이 끝나면 얼굴 영상 역시 단말기에서 먼저 암호화되고, 여기에 서버에서 제공한 공개키를 이용해 다시 한 번 암호화하는 이중 암호화 구조가 적용된다. 안면인증시스템은 자체 보유한 개인키로 암호화 키를 먼저 복호화한 뒤, 복호화된 키를 활용해 얼굴 영상을 풀어낸다. 이렇게 얻은 얼굴 영상과 신분증 사진에서 각각 특징 정보를 추출해 알고리즘으로 비교하고, 동일인 여부를 판단한다. 전체 비교 과정은 0.04초 이내에 끝나며, 사용된 얼굴 영상과 신분증 정보는 인증이 완료되는 즉시 서버에서 삭제되는 구조다. 휴대폰에서 서버로 접속할 때마다 다른 일회성 인터넷주소가 사용돼, 중간에서 통신을 가로채더라도 복호화가 사실상 불가능한 형태라는 것이 구축사의 설명이다.  

 

보안 측면에서는 이중 암호화와 비식별 비교 구조로 해킹 리스크를 줄였다는 평가가 나온다. 통신 구간에서 가로챈 데이터는 암호화 키를 두 겹으로 해제해야만 의미 있는 영상 정보를 얻을 수 있는 구조다. 게다가 안면인증시스템은 얼굴 원본 데이터나 특징정보를 장기 저장하지 않고 인증 직후 폐기하는 방식이라, 통신사나 인증 사업자 내부에 얼굴 정보 데이터베이스를 쌓지 못하도록 설계됐다. 업계 안팎에서는 “대규모 생체정보 DB를 만드는 방식보다 공격 표면이 좁다”는 평가와 함께 “실시간 처리 서버 자체의 침해, 내부자 유출 가능성을 완전히 배제할 수는 없다”는 지적도 동시에 제기된다.  

 

딥페이크와 위변조 공격에 대한 방어도 핵심 변수다. 데이사이드는 무반사 모니터에 영상을 재생하는 방식, 3D 프린터로 제작한 모형 얼굴을 활용하는 시도 등에 대응하도록 엔진을 구축했다고 밝혔다. 한국정보통신기술협회가 권고하는 안면인식·위변조 방지 기준을 통과한 알고리즘을 사용하고 여기에 자체적으로 방어 기능을 강화했다는 설명이다. 실시간 촬영 과정에서 눈 깜빡임, 고개 회전 등 여러 동작을 요구하는 것은 실제 사람의 입체적인 움직임과 화면 속 합성 영상을 구분하기 위한 최소한의 방어선이다. 다만 생성형 인공지능 기술의 발전 속도가 빨라, 향후 정교한 딥페이크를 얼마나 안정적으로 걸러낼 수 있을지에 대해서는 지속적인 검증이 필요하다는 평가가 뒤따른다.  

 

통신사에 대한 신뢰는 여전히 제도의 취약 지점으로 남는다. 올해 이동통신사와 대형 플랫폼 사업자에서 크고 작은 해킹과 정보 유출이 이어지면서, “해킹 이력이 있는 통신사에 얼굴 정보를 맡기는 것 아니냐”는 우려가 커진 상태다. 과기정통부는 통신사가 수집하는 개인정보는 현행 법령에 따라 엄격하게 관리되고 있고, PASS 기반 안면인증도 본인 확인이라는 명확한 목적 범위 내 최소한으로만 활용된다고 강조한다. 인증이 완료되는 즉시 관련 정보가 자동 삭제돼 별도 서버에 장기간 저장·전송되지 않는 구조라는 점도 재차 부각했다. 동시에, 만일의 상황에 대비해 정보보호 전문기관과 합동으로 시스템 보안 체계를 점검하고, 필요시 추가 강화 조치를 취하겠다는 방침을 밝혔다.  

 

PASS 앱을 채택한 이유에는 비용과 보안, 그리고 기존 생태계 활용 전략이 결합돼 있다. PASS는 이동통신 3사가 직접 운영하는 인증 플랫폼으로, 새로 제3자 서비스를 연동할 때 발생하는 별도 비용과 추가 데이터 전송 경로를 줄일 수 있다. 개통 과정 안에서 앱을 활용하면, 외부 플랫폼으로 신분증 정보나 얼굴 영상을 보내고 다시 전달받는 중간 과정을 제거해 공격 표면을 축소할 수 있다는 게 정부의 설명이다. 과기정통부는 지난 2년간 논의 과정에서 알뜰폰 사업자들도 PASS 기반 안면인증 도입에 우선 동의해 왔다고 부연했다. 다만 PASS 외 다른 플랫폼 개방 여부에 대해서는 업계 의견을 수렴해 중장기 과제로 검토할 계획이다.  

 

사용자 편의성과 실패 시 처리 방식도 제도 안착의 관건이다. 정부는 정식 도입 전 약 3개월을 안정화 기간으로 운영하면서, 안면인증에 실패하더라도 예외적으로 개통을 허용하는 기준을 마련했다. 이 기간 동안 현장 안내를 강화해 이용자의 혼란을 줄이고, 실패 사례와 장애 유형을 수집해 내년 3월 말 정식 운영 시 절차를 손질한다는 구상이다. 특히 고령층과 디지털 취약계층은 대부분 매장을 직접 방문해 대면 개통을 진행하는 만큼, 대리점과 판매점 현장에서 직원이 촬영을 도와주거나 대체 인증 수단을 안내하는 방식으로 지원할 계획이다. 피처폰 이용자 약 80만 명도 매장 방문 방식으로 개통을 이어가게 된다.  

 

외국인 고객에 대한 적용 문제는 제도의 실효성을 둘러싼 쟁점으로 떠올랐다. 현재 안면인증은 주민등록증과 운전면허증을 대상으로만 동작해 외국인은 제외된다. 과기정통부는 제도 첫 도입 단계인 만큼 국내에서 가장 많이 쓰이는 신분증 2종에 한해 우선 적용했고, 내외국인 구분 없이 여권과 외국인등록증 등으로 적용 대상을 확대하는 추가 개발을 진행 중이라고 설명했다. 외국인 신분증 연계는 내년 하반기 적용을 목표로 하고 있으며, 같은 시기 도입 예정인 외국인등록증 사진 진위확인 기능과 연동될 경우 외국인 명의 대포폰 차단 효과가 커질 수 있다는 관측도 나온다. 다만 본인이 직접 개통한 뒤 다른 사람에게 넘기는 방식의 대포폰은 기술적 인증만으로 막기 어려워, 전기통신사업법 개정안을 통한 처벌 강화가 병행돼야 할 것으로 보인다.  

 

알뜰폰 가입 회선에서 발생하는 대포폰 문제와 관련해서는 도입 속도 차이가 지적됐다. 과기정통부는 알뜰폰 사업자별로 홈페이지 구조, IT 인프라, 투자 의사결정 절차가 달라 안면인증 시스템 구축 일정에 시차가 발생하고 있다고 설명했다. 일부 사업자는 기술적 이슈나 내부 사정으로 도입이 지연되거나 일시 중단된 상태지만, 알뜰폰 업계가 협회를 중심으로 2022년부터 안면인증 도입을 먼저 제안해 올 정도로 대포폰 이미지 개선에 적극적이었다는 점도 강조했다. 정부는 업계와 협의해 시스템 구축을 지원하고, 도입 완료 시점을 앞당기겠다는 입장이다.  

 

전문가들은 휴대전화 개통 안면인증이 대포폰 유통을 줄이고 명의도용 피해를 줄이는 데 일정 수준 기여할 수 있다고 보면서도, 생체정보를 다루는 제도 특성상 보안 사고 발생 시 파급력이 훨씬 커질 수 있다고 경고한다. 유출된 비밀번호는 바꿀 수 있지만 얼굴과 지문은 바꿀 수 없기 때문이다. 생체정보의 처리 범위와 저장 여부를 법과 제도 차원에서 추가로 명확히 하고, 알고리즘 편향과 딥페이크 대응력 검증을 위한 공인 시험 체계도 필요하다는 지적이 뒤 따른다.  

 

휴대전화 개통 안면인증은 통신 인프라, 바이오인증 기술, 데이터 보호 규제가 맞물리는 대표적인 IT·바이오 융합 사례로 꼽힌다. 산업계는 이 기술이 실제로 대포폰 시장을 얼마나 줄이고, 동시에 이용자의 개인정보 불안을 얼마나 해소할 수 있을지 예의주시하고 있다. 기술과 편의, 보안과 규제의 균형이 새로운 통신 인증 패러다임의 성패를 좌우하는 분기점이 되고 있다.

한유빈 기자
share-band
밴드
URL복사
#pass안면인증#과기정통부#데이사이드