폰 개통 안면인증 '0.04초 검증'…정부 "이중암호화·즉시 폐기"

(서울=뉴스1) 김민수 기자 = 휴대전화 개통에 안면인증 시범 도입되면서 보안 관련 우려가 커졌다. 정부는 패스(PASS) 안면인증은 얼굴·신분증 정보를 암호화해 일시적으로만 처리한 뒤 즉시 폐기하는 구조임을 재차 강조했다.

24일 과학기술정보통신부와 구축사인 데이사이드에 따르면 패스 안면인증은 휴대전화 개통 과정에서 신분증 사진과 실시간 얼굴 영상을 비교해 동일인 여부만 확인하고 얼굴 영상이나 생체정보를 별도로 저장하지 않는다.

개통 과정에서 이용자가 휴대전화로 신분증을 촬영하면, 해당 정보는 암호화돼 안면인증시스템으로 전송된다. 서버는 이를 임시·암호화 상태로만 저장한 뒤 인증이 끝나면 개통 사업자에게 전달하고 즉시 폐기한다.

이후 이용자는 실시간으로 얼굴을 촬영한다. 눈을 깜빡이거나 고개를 좌우로 움직이게 하는 것은 사진이나 영상으로 속이지 못하게 하기 위한 절차다. 이렇게 촬영된 얼굴 정보 역시 암호화돼 서버로 전달되며, 신분증 사진과의 비교는 0.04초 안에 끝난다. 확인이 끝나면 얼굴 정보는 즉시 모두 지워진다.

데이터가 오가는 통로도 보안을 전제로 설계됐다. 이용자가 접속할 때마다 한 번만 쓰는 전용 통로(원타임 URL)가 만들어지고, 이때마다 새 암호키가 새로 생성된다.

휴대폰은 얼굴 정보를 먼저 고급암호화 표준(AES) 방식으로 암호화한 뒤, 이 암호화 열쇠를 다시 공개키 암호화(RSA)로 한 번 더 잠가 서버로 보낸다. 서버는 이 열쇠를 풀어 얼굴 정보를 확인한 뒤, 사용이 끝난 정보는 바로 폐기한다.

허동욱 데이사이드 본부장은 "안면인증시스템은 휴대전화에서 전달된 어떠한 생체 정보도 저장·관리하지 않는다"며 "모든 정보는 인증이 끝나는 즉시 폐기된다"고 말했다.

정부는 안면인증 도입이 불가피하다는 입장이다. 최우혁 과기정통부 네트워크정책실장은 "보이스피싱 피해가 급증하고 있고, 대포폰 차단을 위한 보다 강력한 수단이 필요하다"며 "공익적 필요성이 더 크다고 판단했다"고 말했다.

실시간 딥페이크 기술을 통한 위·변조 가능성과 관련해선.구축사인 데이사이드는 "딥페이크, 3D 프린팅 등 공격 시나리오를 고려한 방어 엔진을 적용했다"고 설명했다.

외국인 적용은 추후 이루어진다. 외국인 신분증 안면인증은 추가 개발이 필요해 2026년 하반기 도입 예정이다. 과기정통부는 같은 시기에 법무부와 연계한 외국인등록증 사진 진위 확인 시스템이 도입되면 외국인 대포폰 차단 효과가 크게 높아질 것으로 전망했다. 그전까지 외국인 개통 회선 제한, 특정 유통망 실태 점검 등 기존 대책으로 대포폰을 관리하겠다는 방침이다.

시범 운영 기간은 약 3개월이다. 이 기간에는 안면인증 실패 시에도 예외적으로 개통이 가능하게 했다. 과기정통부는 이 기간에 이용자 불편과 인증 실패 사례를 집중적으로 모니터링하고, 정식 도입 전까지 보완책을 확정할 계획이다.

kxmxs4104@news1.kr