가면 만들어 아이폰X 페이스ID 해킹했다

베트남 보안회사 비카브…씨넷 "의문점 있어"

홈&모바일입력 :2017/11/14 10:49    수정: 2017/11/14 10:49

베트남 보안회사 비카브가 이용자의 얼굴을 특수 가면 형태로 복제해 아이폰X 페이스ID 잠금장치를 해제하는 영상을 공개했다.

특수 가면은 3D 프린터를 통해 제작됐다.

그러나 미국의 IT매체 씨넷은 13일(현지시간) 비카브가 공개한 영상에 대해 몇 가지 문제가 있다며 의문을 표시했다.

베트남 보안회사 비카브가 특수가면을 만들어 페이스ID의 잠금을 해제하는 영상을 공개했다.(사진=비카브)

페이스ID는 아이폰X의 가장 큰 특징 중 하나다. 얼굴 인식 기능이 아주 새로운 것은 아니지만, 애플은 가장 안전한 버전을 만들었다고 공언해왔기 때문에 많은 이들이 아이폰X의 페이스ID가 너무 허술한 것 아니냐는 비판이 나오고 있다.

그 동안 얼굴인식 기술은 해커가 카메라 앞에 등록된 사용자의 사진을 보여주면 뚫리는 함정을 보이기도 했었다. 애플은 이를 보완하기 위해 적외선 센서와 점들을 매핑하는 3D 이미지 스캔하는 방식을 채택했고, 할리우드 마스크 제작자와 협력하여 해당 기술의 정확도를 높이기 위해 힘썼다고 밝혔다.

다음은 씨넷이 이번 해킹에 대해 제기한 의문점들이다.

1. 아이폰X 페이스ID에 등록된 것은 무엇인가

실제로 페이스ID에 등록된 얼굴은 그게 마스크일지라도 잠금을 해제할 수 있다. 비카브는 해당 동영상을 통해 해당 아이폰X에 어떤 얼굴이 등록되어 있는 지 제시하지 않았다.

페이스ID는 인공지능으로 구동되기 때문에 얼굴을 인식할 때마다 학습된다. 해당 아이폰X의 알고리즘은 특수 가면의 얼굴을 학습했을 가능성도 있다.

2. 얼마나 자주 페이스ID를 사용했고 실패했나

아이폰X부터 새롭게 도입된 페이스ID (사진=씨넷)

페이스ID의 경우, 알고리즘이 어떻게 학습했는지가 중요하다. 페이스ID는 다섯 번 실패하면, 암호를 입력해야 한다. 암호를 입력할 때마다, 페이스ID는 새로운 얼굴을 스캔하고 새로운 얼굴을 다시 등록하는 과정을 거친다.

때문에 이 마스크가 5번 이상 실패했을 가능성이 있고, 연구진이 암호를 입력한 후에 마스크를 아이폰에 등록했을 가능성을 배제할 수 없다. 비카브는 구체적으로 얼마나 많은 시도를 했는지 명시하지 않았지만, 마스크를 만들 때 “암호를 사용하지 않는 엄격한 규칙을 적용했다"고 밝혔다.

3. 마스크를 만드는 데 얼마나 걸렸나

페이스ID는 4시간 마다 사용되야 하며 그렇지 않을 경우, 암호를 입력하라는 메시지가 표시된다. 아이폰X를 2일 이상 잠금 해제하지 않으면 안면인식 기능도 사용할 수 없다.

비카브는 11월 5일에 아이폰X를 받은 후 3D 모델과 실리콘 코를 포함한 마스크 작업에 착수했다고 밝혔다. 정확한 가면 제작 소요 시간, 중간 중간 어떤 식으로 아이폰X 인증을 진행 했는지에 대한 언급도 필요하다고 씨넷은 지적했다.

4. 특수 가면의 실용성?

페이스ID가 처음 공개됐을 때 안면인식 기능이 얼마나 안전한지에 대한 많은 논의가 있었다. 주로 고려됐던 사항은 아이폰X의 인증을 풀기 위해 사용자를 위협하는 것이다.

만약 소매치기나 도둑을 만났을 때 사용자의 안면을 3D 마스크로 만들어 잠금해제 하기는 쉽지 않을 것으로 보인다고 씨넷은 평했다. 비카프는 억만 장자나 주요 기업의 지도자, 국가 지도자들이 주요 타겟이 될 것이라고 밝혔다.

이에 대해 씨넷은 아이폰X를 분실할 위험은 많아도 암호를 풀기 위해 3D 프린터로 2일 안에 마스크를 만들어 인증을 풀어야 하기 때문에 실용성은 떨어진다고 지적했다.

관련기사

또, 일반적으로 보안 결함을 발표하는 대부분의 연구 결과들은 자신이 해당 결함을 발견한 방법, 어떤 사람들이 이 결함에 취약한 지, 해당 문제를 발견한 뒤에 어떻게 해야 하는 지를 상세히 제시하기 마련이지만 비카브는 이런 질문에 대해 정확히 답을 하지 않고 있다고 씨넷은 지적했다.

비카브는 최근 전화기 사업에 진출하려는 것으로 알려지고 있다. 비카브는 이번 해킹에 대해 이번 주 기자회견을 통해 답할 것이라고 밝혔다.