정용환 기자
스마트폰이나 PC 로그인에도 도입된 얼굴 인식 기술은 처음에 맨얼굴을 등록해두면 안경을 쓰거나 화장을 해도 인식 가능하고 마스크나 스카프, 선글라스 등으로 변장해도 문제없이 본인으로 인식할 수 있는 것도 있다. 얼굴 인식 감시 시스템을 도입하는 국가가 있는 가운데 그런 감시를 피해 얼굴 인증으로 본인으로 특정되지 않는 변장 방법에 대해 여러 전문가가 설명하고 있다.
보도에선 컴퓨터 과학 등을 전문으로 하는 교수 4명에게 얼굴 인식 AI를 속이려면 얼마나 외모를 바꿔야 하냐고 질문했다. 듀크 대학교 컴퓨터 과학 학부에서 연구에 참여하는 신시아 루딘 교수는 최첨단 얼굴 인식을 속이기 위해 얼굴을 바꾸는 것은 현실적이지 않다고 생각한다고 말했다. 루딘 교수에 따르면 신종 코로나바이러스 유행으로 마스크를 쓰는 이들이 전 세계적으로 증가하면서 얼굴 인식 시스템은 얼굴 전체보다 눈 주변에 초점을 맞추도록 변경됐을 가능성이 높다고 한다. 마스크를 쓰고 선글라스를 착용하면 얼굴 인식으로 들키지 않을 가능성이 있지만 그건 단순히 얼굴을 가린 것일 뿐 얼굴 인식을 회피했다고 보기는 어렵다고 루딘 교수는 지적한다.
또 만일 성형 수술로 눈 주변을 크게 변화시킬 수 있더라도 생활하면서 새로운 얼굴과 이름이 인터넷상에 유통되어 모든 얼굴 인식 시스템에 포착될 것이다. 루딘 교수는 얼굴 인식을 피하기 위해 어떻게 변장해야 하는가라는 질문은 다른 사람이 생체 인증을 캡처하는 걸 피하는 게 얼마나 무의미한지를 보여준다며 얼굴 인식 시스템을 피하고 싶다면 얼굴을 극적으로 바꾸는 것보다 정부에 보호 법률을 만들어 달라고 요청하는 게 훨씬 쉽다고 말했다.
노트르담 대학교 컴퓨터 과학 & 엔지니어링 학부 공학 교수 월터 샤일러 교수는 얼굴 인식을 피하기 위해 외모를 얼마나 바꿔야 하는지에 대한 답변은 얼굴 인식 알고리즘 사용 방법에 따라 달라진다고 지적했다. 인간 생체 인증에는 카메라로 포착된 인물이 데이터베이스에 등록된 ID와 일치하는지 검증하는 1:1 방식과 알 수 없는 피사체의 사진을 이전에 등록된 데이터베이스 전체와 대조하는 1:다 방식 2가지 패턴이 있다. 1:1은 스마트폰이나 PC 로그인 인증, 공항 보안 등에서, 1:다는 법 집행 기관이나 정부 스파이 활동 등 감시에서 빈번히 사용된다.
샤일러 교수에 따르면 얼굴 인식 알고리즘이 크게 발전한 현재 1:1 모드를 피하는 건 매우 어렵다고 한다. 반면 1:다 모드는 얼굴의 부분적인 특징이 조금 부족하면 데이터베이스와의 일치를 인식하기 어렵고 여름에는 선글라스, 겨울에는 스카프를 항상 착용하면 감시자가 충분한 데이터베이스를 얻지 못할 수 있다. 또한 1:1에서는 얼굴 각도가 바뀌어도 문제없이 인식할 수 있지만 1:다에서는 항상 아래를 보며 걷는 것만으로도 정면 얼굴을 캡처하지 못해 곤란할 수 있다고 한다.
샤일러 교수는 오늘날의 알고리즘은 여드름이나 부기, 성형 수술 등 얼굴 미세한 외관 변화에 대해 상당히 대응할 수 있다며 얼굴 인식을 피하기 위한 가장 좋은 실용적인 조언은 얼굴 인식이 도입된 장소를 알고 그 장소를 피하는 것이라면서 다만 이 조언이 얼마나 오래 유용할지는 앞으로 수년간 이 기술이 얼마나 보급될 것인가에 달려 있다고 말했다.
미시간 주립대학교 공학부에서 컴퓨터 과학 및 엔지니어링을 전문으로 하는 유샤오밍 교수는 먼저 얼굴 인식을 회피한다는 정의를 피사체가 카메라로 촬영될 때 얼굴 인식 시스템이 피사체 얼굴을 인식할 수 없는 것으로 전제했다. 그 위에 얼굴 인식 시스템을 적극적으로 속이는 방법을 2가지 제안했다.
첫째 대부분 AI 모델은 적대적 공격에 취약하기 때문에 입력 데이터 샘플 내 작은 변경만으로도 시스템이 완전히 실패할 수 있다. 따라서 맨얼굴이 데이터베이스에 등록되어 있을 때 마스크나 스카프, 콧수염 등으로 인식을 회피하기는 어렵지만 그런 걸 착용한 얼굴을 새로운 데이터로 업데이트시키면 얼굴 인증 시스템이 실패할 가능성이 높아진다.
둘째 얼굴 외모를 화장으로 크게 바꿔 얼굴 인식 시스템을 속일 가능성이 있다고 류 교수는 말하면서도 어디에 얼마나 많은 화장을 하면 얼굴 인식을 뚫을 수 있는지 답하기는 어렵다고 말했다. 이는 얼굴 인식 시스템 차이보다 사람 얼굴 차이가 더 중요하기 때문이다. 비교적 적은 화장으로 다른 사람과 비슷해 보이는 얼굴도 있고 많은 화장을 해도 다른 사람과 잘 혼동되지 않는 얼굴도 있다. 어디에 얼마나 화장을 하면 얼굴 인식을 피할 수 있는지는 전용 앱으로 얼굴을 비추면 화장할 위치를 알려줄 수 있을 것이다.
노트르담 대학교에서 컴퓨터 과학 & 엔지니어링 교수를 맡고 있는 슈브멜 프레인 패밀리 교수는 변장으로 얼굴 인식을 회피할 수 있는지의 답변은 상황에 따라 다르다’고 말했다. 얼굴 인식 알고리즘은 얼굴 이미지에서 특징 벡터를 계산하는 특정 방법과 인식한 얼굴과 데이터베이스의 얼굴 2가지 특징 벡터를 비교해 그들의 유사성을 나타내는 값을 출력한다.
예를 들어 유사성을 나타내는 값이 0부터 100(0이 완전 불일치, 100이 완전 일치)으로 나오는 시스템이라면 완전히 같은 이미지가 아니면 100이 되지 않기 때문에 어떤 값부터 유사하다고 볼 것인가라는 임계값은 시스템마다 다르다.
따라서 얼굴 인식을 회피하려면 2가지를 알아야 한다. 먼저 데이터베이스에 있는 오래된 사진이 어떤 것인지를 아는 것이다. 오래된 사진이 정면에서 찍었다면 고개를 숙이고 카메라 앞을 지나가는 것만으로도 값은 크게 떨어진다. 그리고 그 시스템 임계값이 얼마인지 알 수 있다면 오래된 사진으로부터 얼마나 얼굴을 가리거나 화장을 해야 하는지 알 수 있다.
하지만 어떤 임계값이 채택될지는 알기 어려운 경우가 많기 때문에 패밀리 교수는 얼굴 인식 시스템에 대한 지식을 조금이라도 늘리면 가장 효과적인 접근 방식을 시도해 볼 수 있다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
