한양대, 얼굴 인증 시스템 취약성 실험으로 증명

등록 2025.03.25 09:26:58

100번의 인증 시도만으로 사용자 얼굴 이미지 복원

"얼굴 인증 시스템의 구조적 특성을 수학적으로 분석"

한양대학교 수학과 서재홍 교수(왼쪽, 교신저자)와 김선필 석박통합과정생(제1저자). (사진=한양대 제공) *재판매 및 DB 금지

[서울=뉴시스]윤신영 인턴 기자 = 국내 연구진이 100번의 인증 시도만으로 사용자의 얼굴 이미지를 복원해 얼굴 인증을 통과할 수 있는 기술을 개발했다.

햔양대는 수학과 서재홍 교수 연구팀이 상용 클라우드 기반 얼굴 인증 API를 대상으로 단 100번의 인증 시도만으로 사용자의 얼굴 이미지를 복구할 수 있는 기법을 발표했다고 25일 밝혔다.

모바일 뱅킹이나 SNS 로그인 등 다양한 분야에서 활용되는 얼굴 인증 기술은 주로 딥러닝 기반 얼굴 인식 알고리즘을 사용한다.

얼굴 인증 기술을 사용자 인증 방식으로 사용하는 대부분의 애플리케이션들은 주로 빅테크 기업들이 제공하는 클라우드 API를 활용한다.

클라우드 API를 사용한 얼굴 인증은 사용자가 미리 등록한 얼굴 사진과 실시간으로 촬영된 얼굴 사진을 비교해 이뤄진다.

기존의 연구 기술들은 수십만번의 인증 시도를 거쳐야만 원본 얼굴과 유사한 이미지를 생성할 수 있어 얼굴 인증 서비스의 보안에 큰 위협이 되지 못했다.

반면 서재홍 교수팀은 100번의 인증 시도만으로 사용자의 얼굴 이미지를 고화질로 복원해 얼굴 인증을 통과하는 데 성공했다.

연구진은 얼굴 인식 모델이 특정 수학적 성질을 만족하도록 학습되는 구조(metric learning)에 착안했다. 이어 직교 기저(orthogonal basis) 역할을 하는 얼굴 이미지들을 찾아내 100번의 인증 시도로 원본 얼굴을 복원해 냈다.

상용 클라우드 얼굴인증 API를 대상으로 하는 얼굴 이미지 복구 기술들을 비교한 결과, 한양대는 100번 질의 만에 원본 이미지를 복구해 얼굴 인증에 성공했다. (사진=한양대 제공) *재판매 및 DB 금지

연구를 이끈 서재홍 교수는 "이번 연구는 단순한 공격 기법 제시에 그치지 않고, 딥러닝 기반 얼굴 인증 시스템의 구조적 특성을 수학적으로 분석한 점에서 의미가 있다"며 "안전한 딥러닝 기술 발전에 수학이 핵심적인 역할을 할 수 있다는 가능성을 보여줬다"고 설명했다.

한편 이번 연구는 지난해 5월 미국 샌프란시스코에서 열린 정보보호 분야 국제 학술대회 'IEEE S&P 2024'에서 발표됐으며, 과기정통부와 정보통신기획평가원이 추진하는 '정보보호핵심원천기술개발사업'과 한국연구재단의 '우수신진연구자 지원사업'의 지원을 받아 수행됐다.

◎공감언론 뉴시스 young5@newsis.com