무섭게 진화하는 딥페이크..."얼굴인식 인증 못 믿어"

"2026년 기업 30%가 얼굴인식 신뢰 못할 것"

2026년에는 안면인식 솔루션을 겨냥한 딥페이크 공격 때문에 기업 30%가 신원확인·인증 솔루션을 더 이상 단독으로 신뢰할 수 없게 될 것이라는 전망이 나왔다.

5일 글로벌 IT리서치·컨설팅사 가트너(Gartner)는 "악의적인 공격자가 생체인증을 약화시키거나 비효율적으로 만드는 데 딥페이크가 사용될 수 있다"며 이 같은 예측을 내놨다. AI(인공지능) 기술 발전에 따라 인증 대상자 실제 얼굴과 딥페이크를 구분하기 어려워져 관련 솔루션 신뢰도에 의문이 제기되기 시작할 것이라는 설명이다.

오늘날 얼굴 생체인식을 이용한 신원 확인 및 인증 프로세스는 사용자 진위 여부 평가를 위해 PAD(프레젠테이션공격탐지) 기술을 활용하고 있다. 하지만 PAD 메커니즘을 정의·평가하는 현재 기준과 테스트 프로세스로는 최신 생성형AI 기반의 딥페이크를 이용한 디지털 인젝션 공격을 구분해내지 못한다는 게 가트너의 지적이다.

가트너 연구에 따르면 가장 일반적인 공격 벡터는 프레젠테이션 공격이지만 지난해에는 인젝션 공격이 200%나 증가한 것으로 나타났다. 이런 공격을 막아내기 위해서는 PAD뿐 아니라 IAD(인젝션공격탐지) 및 이미지 검사 기술을 함께 사용해야 한다. 때문에 기업·기관 CISO(최고정보보호책임자) 등은 이 새로운 유형의 공격을 모니터링, 분류, 정량화 가능한 공급업체를 선택할 필요가 있다.

전략을 정의하고 기준을 설정한 후에는 디바이스 식별 및 행동분석과 같은 추가적인 안전장치를 포함시켜 신원확인 프로세스 공격 탐지 확률을 높여야 한다. 특히 ID 및 액세스 관리를 담당하는 보안 및 위험관리 리더들은 실제 사람의 존재 여부를 증명할 수 있는 기술을 도입하고 계정 탈취를 방지하는 추가적인 단계를 구축하는 등 딥페이크 공격 위험을 완화할 수 있는 조치를 취해야 한다고 가트너는 설명했다.

아키프 칸(Akif Khan) 가트너 VP 애널리스트는 "조직들은 공급업체들 중 이미지 검사와 결합된 IAD를 사용해 최신 딥페이크 기반 위협을 완화하는 데 특별히 투자해온 업체와 협력, 최소한의 제어 기준을 정의하기 시작해야 할 것"이라고 밝혔다.팽동현기자 dhp@dt.co.kr