AI 기반 사기와 딥페이크가 온라인 신뢰를 위협하는 가운데, 전 세계 여러 국가에서 공공 서비스에 대한 생체인식 기술 도입이 확대되고 있다. 기업과 정부는 생체인식 위조 공격, 대규모 위조 신분증, 피싱 봇 등 AI에 의해 가능해지고 강화되며 확산되는 각종 사기 문제에 직면하고 있다. 이에 대한 치료책으로 전문가들 사이에서 공감대가 형성된 해법은 바로 ‘더 많은 AI’의 도입이며, 이는 다층 방어 체계의 일부 또는 전부로 활용되고 있다.

가짜 사람과 진짜 웨비나

GenAI로 생성된 딥페이크가 사용되는 공격을 식별하려면, 다층 방어 체계에는 반드시 인젝션 공격 탐지 기능이 포함돼야 한다. Mitek의 시장 전략 및 인텔리전스 디렉터 카멜 마허(Carmel Maher)는 최근 Biometric Update가 주최한 웨비나에서 이러한 접근법을 설명하고, 결제 사기에 AI가 어떻게 사용되고 있는지에 대한 사례를 공유했다.

다행히도, AI는 AI가 생성하거나 AI를 통해 전달되는 콘텐츠를 탐지할 수 있다. 이는 AuthenticID와 Darwinium이 다음 Biometric Update 웨비나에서 설명할 예정이다.

그리고 그 위험성은 매우 크다. Sift의 최고마케팅책임자(CMO) 아르멘 나자리안(Armen Najarian)은 Biometric Update 기고문에서, 잘못된 긍정(위양성)으로 인한 거래 거절이 AI 기반 사기의 숨겨진 비용이라고 지적하며, 조직이 갖춰야 할 주요 기능에 대한 조언을 제공했다.

필요한 보안 계층과 기능은 AI를 넘어선다. 웨비나에서는 AuthenticID, Keyless, DuckDuckGoose의 임원들이 모여 규제와 기술 간의 정교한 균형에 대해서도 논의했다. Peak IDV와 Prism Project가 주최한 이 토론에서는 “온라인으로 면접을 계속 진행하는 것이 과연 합리적인가?”라는 질문까지 제기되었다.

진짜와 가짜, 선과 악을 넘나드는 AI

AI 에이전트는 상황을 더욱 복잡하게 만들고 있다. AI 에이전트 시장은 2030년까지 526억 달러 규모로 성장할 것으로 예상되며, 인간과 비인간을 구별하고 선한 봇과 악성 봇을 구분해내는 ZeroBiometrics, Frontegg, Anetac 등의 도구에 대한 수요도 크게 증가할 것으로 보인다.

비인간 정체성을 식별하기 위한 세계적 대응의 일환으로 추진된 시스템은 이번 주 또 하나의 장벽에 부딪혔다. 케냐 고등법원이 규제 당국의 감독 하에 케냐인으로부터 수집한 생체 데이터를 모두 삭제하라고 해당 기업에 명령한 것이다.

또한, 캐나다·네덜란드·덴마크의 언론사가 세계 최대 규모의 비동의 딥페이크 포르노 사이트인 ‘Mr. Deepfakes’의 폐쇄를 유도한 것으로 보인다. 언제나 그렇듯, 타인의 프라이버시는 가볍게 여기는 이들이 정작 자기 자신의 프라이버시에는 민감하다.

한편, 또 다른 악명 높은 AI 활용 사례인 신장 위구르족에 대한 광범위한 감시는 화웨이(Huawei), 하이크비전(Hikvision), 다화(Dahua)의 기술로 이루어졌으며, 이로 인해 해당 기업들은 현재 프랑스 법정에 서게 되었다.

디지털 공공 서비스는 지금, REAL ID는 결국 도입된다

Gov.uk는 디지털 공공 서비스 체계를 정비하기 위해 SMS 기반 인증에서 패스키(passkey) 방식으로 전환 중이다. 이와 유사하게 나이지리아, 가나, 소말리아 정부도 각각 자국의 디지털 신원 확인 시스템을 개선해 발표했다. 이 세 국가는 5월 20일부터 23일까지 열리는 ID4Africa 2025 연례 총회에서 개최국인 에티오피아의 공공 서비스 디지털 전환 성과와 함께 논의될 예정이다. Biometric Update는 해당 행사 현장인 아디스아바바에서 직접 취재를 진행할 예정이다.

미국 정부의 온라인 신뢰 구축을 위한 새로운 접근법은 규제 완화와 딥페이크 연구 예산 삭감으로 요약된다. 이에 대한 iProov와 Pindrop 등 업계 관계자들의 코멘트는 이러한 방향성에 대한 우려를 반영하고 있다. 이번 주 REAL ID 도입 기한을 지키지 않은 사례처럼, 기존 규제가 제대로 집행되지 않는다면, 다른 보안 수단의 중요성이 더욱 커질 수밖에 없다.

한편, 미국 특허청(USPTO)은 자사의 특허 센터(Patent Center) 플랫폼 보안을 위해 민간업체인 ID.me의 솔루션을 채택하고 있다.

생체인식 및 디지털 신원 커뮤니티와 공유할 만한 팟캐스트, 웨비나 또는 관련 콘텐츠가 있다면 댓글이나 SNS를 통해 알려주시기 바랍니다.