단순한 얼굴인식 기능으로 잠금해제 하는 것에 반대한다

Verge 에 재밌는 기사가 올라왔다.
http://www.theverge.com/2017/3/31/15136226/samsung-galaxy-s8-face-scan-security

 

처음에 이 기사를 보고 너무 놀랐다.
하필이면 만우절에 올라와서…
만우절 장난이라고 하기엔 S사에 타격이 너무 큰 장난이고
장난이 아니라고 하기엔 너무 심각한 보안 결함이고… ㅋ… 사진으로 얼굴인식해서 lock을 풀 수 있다고 설마 생각을 못 했을까

 

본인인증을 한다는 건
누구인지 확인하는 본인확인(identification, 유일성 식별)과 본인이 아니라는 걸 부인하는 걸 방지하는 부인방지 (non-repudiation)에 대한 두가지가 이루어져야 한다.
쉽게 누군가를 식별해 주더라도 위조가 가능하고 쉽게 속일 수가 있다는 것은 부인방지 기능이 없는 것이므로 인증수단으로 사용하기에 무리가 있다.

 

잠금암호를 안다는 것은 그 사람이 다른 사람에게 말해주지 않는 한 유일성 식별과 부인방지 기능에서 제 역할을 한다.
지문 인증도 마찬가지 지문이 겹칠 확률이 적어서 본인확인이 가능하고 똑같은 지문을 위조하기 쉽지 않으므로 본인인증 수단으로 사용 가능하고 홍채인증은 위조가 어려워서 더 강력한 본인인증 수단이다.

 

하지만 얼굴인식은 사진/영상과 실물을 구분할 수 있는 기능이 함께 하지 않으면 너무나 쉽게 복사해서 인증이 가능하므로 본인인증 수단으로 사용하기에 무리가 있다. 다른 인증수단과 함께 적용하여 보조수단으로 사용하면 모를까..

 

비밀번호, 지문 모두 악의적인 목적으로 사용하기 위해 분명 어느 정도 이상의 노력이 필요하다. 그리고 본인이 제공하지 않으면 얻기 힘든 정보들이다. 하지만 요새 같은 세상에 사진 구하기는 정말 쉬운 일 아닌가..

 

다시 한 번 말하지만 실물과 사진/영상들을 구분할 수 있는 마땅한 방법을 제시할 수 없다면 얼굴인식 기능을 본인인증 수단으로 사용하지 말아야 한다.
화장을 하거나 파마를 해도 같은 사람임을 쉽게 식별 가능하다고 발전된 얼굴인식 기술을 뽐내느라 이런 기본적인 것을 무시하고 넘어갔다면 정말 이쉽다.

 

기본을 무시했기 때문에 발생했던 갤럭시 노트7 배터리 폭발사고에서 큰 교훈을 얻은 것 같지 않다. 과연 다른 기술들은 얼마나 기본을 무시하고 구현/적용했을까 하며 계속 의심의 눈초리로 바라 볼 수 밖에 없다.