홈으로 돌아가기

Android의 Face Unlock: 사진 취약점 및 보호 방법

Android 기기 2D face unlock 시스템 취약점 분석. 연구 데이터, 취약 모델 목록, 보안 개선 권장 사항 포함.

사진이 Face Unlock을 속일 수 있나요? 스마트폰 확인하기
Advertisement 728x90

안드로이드 Face Unlock 취약점: 사진으로 스마트폰을 속이는 이유

테스트된 안드로이드 스마트폰의 60% 이상이 간단한 사진 한 장으로 얼굴 스푸핑에 취약한 것으로 나타났다. Which? 연구소가 208개 기기를 대상으로 실시한 연구에서 대부분의 저가 및 중급 모델이 생체와 인쇄된 이미지를 구분하지 못하는 2D 인식 시스템을 사용한다는 사실이 확인됐다. 이는 사용자 프라이버시와 데이터 보안에 심각한 위험을 초래한다.

2D 얼굴 인식의 취약성 이유

대부분의 안드로이드 기기에서 Face Unlock 시스템은 추가 깊이 센서 없이 표준 전면 카메라에만 의존한다. 이 방식은 3차원 구조가 없는 평면 이미지를 생성한다. 그 결과 알고리즘은 카메라 앞의 대상이 실제 얼굴인지 2D 복제본인지—인쇄된 사진이든 다른 기기 화면의 이미지든, 심지어 동영상이라도—판별하지 못한다.

반대로 Apple Face ID나 고급 Honor 및 Samsung 모델의 3D 스캐너 같은 솔루션은 적외선 프로젝터와 깊이 센서를 사용한다. 이들은 수천 개의 점으로 구성된 얼굴 표면의 정밀한 맵을 생성해 전문 장비 없이는 스푸핑을 극도로 어렵게 만든다.

Google AdInline article slot

위협 추세: 정점에서 부분적 개선으로

취약성 정점은 2024년에 나타났다: 테스트된 기기의 72%가 사진 기반 공격에 무너졌다. 2023년에 비해 35% 증가한 수치다. 그러나 2025년에는 긍정적인 추세가 보인다—취약한 스마트폰 비중이 63%로 떨어져 전년 대비 13% 개선됐다.

일부 제조사들은 더 큰 투명성을 위해 조치를 시작했다. 예를 들어 Xiaomi는 26개 모델에 위험 경고를 추가했으며, Samsung은 지난 3년간 9개 기기에 이를 적용했다. 그럼에도 Motorola와 OnePlus 같은 다른 브랜드는 적절한 경고 없이 수십 개 모델을 출시했다.

제조사들의 보안 입장

제조사들은 2D Face Unlock이 민감한 작업 보호가 아닌 편의성을 위한 것이라고 일관되게 강조한다. 주요 업체들의 입장은 다음과 같다:

Google AdInline article slot
  • Fairphone: 생체 클래스 1(‘편의성’)을 사용하며, 안드로이드가 금융 앱에서 이를 자동 차단한다고 밝힌다.
  • Honor: 2D 시스템의 기술적 한계를 인정하고 고보안 작업에는 3D 매핑이 적용된 플래그십 Pro 모델을 권장한다.
  • Motorola: Face Unlock 대신 PIN, 비밀번호 또는 패턴 잠금을 사용하라고 조언한다.
  • OnePlus: 필수 ‘얼굴 인식 사용 선언’을 언급하며, 이 방법이 지문이나 숫자 비밀번호보다 신뢰성이 낮다고 명시한다.

위험 모델

연구는 신원 스푸핑 저항 테스트에 실패한 특정 기기를 확인했다. 그중에는:

  • Fairphone 6;
  • Honor Magic6 Lite 5G;
  • Motorola 라인업: Moto G75 5G, Edge 60 Pro, Edge 60 fusion, Moto G56 5G, G86, Edge 40 Neo, Moto g35, Moto g55, Razr 50 Ultra, Edge 50 Ultra, Edge 50 Pro, Moto G73;
  • Nothing Phone (2a) Plus, (3a), (3a) Pro, (3), (2a);
  • OnePlus 13R, 13, Nord 5, Nord CE5, 15, Nord 3 5G;
  • Oppo Reno 13 F, Reno 13 Pro, Find X9 Pro, Find X9, Reno 11 F 5G.

흥미롭게도 Nothing 같은 신규 시장 진입자조차 테스트된 모든 기기에서 적절한 보호나 사용자 경고를 제공하지 못했다.

사용자 대처법: 실전 보호 조치

스마트폰이 2D Face Unlock을 사용한다면 다음 추가 조치를 취하라:

Google AdInline article slot
  • 얼굴 잠금 해제를 비활성화하고 지문 또는 PIN으로 전환하라.
  • 다른 기기에서 SIM 카드 사용을 막기 위해 SIM에 PIN을 설정하라.
  • 메신저, 이메일, 갤러리 등 중요한 서비스에 ‘앱 잠금’을 활성화하라.

이 조치들은 누군가 기기를 물리적으로 손에 넣더라도 무단 접근 위험을 크게 줄인다.

주요 요약

  • 대부분의 중급 및 저가 안드로이드 스마트폰이 2D 얼굴 인식을 사용하며, 이는 사진 한 장으로 쉽게 속을 수 있다.
  • 깊이 매핑이 적용된 3D 시스템만 신원 스푸핑에 대한 진짜 보호를 제공한다.
  • 제조사들은 Face Unlock을 보안 기능이 아닌 편의 기능으로 간주하며, 금융 시나리오에서 이를 제외하는 경우가 많다.
  • Google Pixel 8–10은 예외: 2D 방식임에도 고급 ML 모델을 사용해 은행 기준을 충족한다.
  • 사용자 인식과 대체 인증 방법이 데이터 보호의 핵심이다.

— Editorial Team

Advertisement 728x90

다음 읽기