PASS 앱의 허점발견? ARGOS가 말해주는 ‘진짜 사람’을 구별하는 본인 인증 시스템
PASS 앱에서 발견된 문제점 “얼굴이 달라도 본인 인증 OK”
최근 보도를 통해 PASS 앱 모바일 신분증의 심각한 보안 취약점이 드러났습니다. 국내에서 1,100만 명이 사용하는 PASS 모바일 신분증은 공항, 투표소, 관공서 등에서 본인 확인용으로 널리 활용되고 있지만, “다른 사람의 얼굴로도 인증이 통과되는 사례”가 실제로 확인된 것입니다.
실험 결과 다른 사람의 주민등록증을 프린트해 스캔한 후, 해당 인물의 얼굴을 본뜬 3D 실리콘 마스크를 착용한 여성이 카메라 앞에서 눈을 깜빡이고 머리를 움직이자 인증이 통과되었습니다. 성별이 전혀 다른데도, 시스템은 이 인증을 “정상 사용자”로 인식했습니다.
PASS 앱에는 ‘라이브니스(Liveness) 기술’ 즉, 실제 사람이 움직이는지를 감지하는 기술이 적용되어 있었지만, 정교한 위·변조 시도를 완벽히 걸러내지 못했습니다.
더 큰 문제는, 이러한 보안 취약점이 작년 12월 이미 발견되었음에도 불구하고, 3대 이동통신사가 약 1년간 업데이트를 미뤘다는 점입니다.
PASS앱의 기술적·제도적 한계: “보안 기술보다 빠른 위조 기술”
PASS 앱 사건은 단순한 업데이트 문제를 넘어, 국가 전체의 인증 체계가 얼마나 취약할 수 있는가를 보여줍니다. 현재 국내에서 사용하는 모바일 신분증의 얼굴 인식 기술은 동일한 기업의 알고리즘을 사용하고 있으며, PASS앱 업데이트가 지연되면서 보안 격차가 발생했습니다.
하지만 보다 근본적인 문제는 ‘인증 적합성 평가(TTA 인증)’의 부재 또는 불완전한 검증 과정에 있습니다. 일부 절차에서는 정면 얼굴과 움직이는 얼굴이 동일인인지 확인하는 단계가 누락되어 있었고, 이는 곧 딥페이크나 합성 영상, 실리콘 마스크와 같은 최신 위조 기술을 식별하지 못하는 결과로 이어졌습니다.
최근에는 BTS 정국의 이름으로 개통된 명의 도용 피해 사례처럼, 신원 정보가 유출될 경우 휴대전화 개통부터 금융 거래까지 피해 규모가 급속히 확산될 수 있습니다. 즉, 인증 기술의 취약성은 단순한 ‘앱 문제’가 아니라 개인의 신원과 재산을 직접적으로 위협하는 사회적 리스크입니다. 그렇다면 우리는 어떤 인증을 거쳐야 할까요?
“공공 인증의 대체 구조와 민간 기술 협력”
PASS 앱 사례는 “공공 기반 인증”에 대한 맹신을 경계하게 만들었습니다. 신원 인증이 단일 시스템에 의존할 경우, 하나의 장애가 전체 금융 및 행정 체계를 마비시킬 수 있다는 것입니다. 따라서 이제는 공공·민간 협력 기반의 다층적 인증 구조를 마련해야 할 필요가 있어보입니다.
① 실시간 얼굴 인증 및 딥페이크 감지 기술의 강화
② 신분증 외에 생체·행동 기반 추가 인증 도입
③ 인증 기술에 대한 정기적 검증 및 공시 체계 확립 (TTA 평가 고도화)
④ 신원 정보 보호를 위한 민간 기술 표준화 및 연계성 확보
인증은 단순한 ‘접근 절차’가 아니라, 사회 전체의 신뢰를 지탱하는 인프라 수준의 기술이 되어야 하는 것이죠!
ARGOS의 해결책: 실시간 인증에서 End-to-End 신뢰 플랫폼으로
PASS 앱의 취약점은 단순히 하나의 기술 문제를 넘어, ‘신원 인증은 단순한 기술이 아니라, 실시간으로 작동해야 하는 신뢰 시스템’이라는 점입니다. ARGOS는 이 교훈을 바탕으로, ‘살아있는 인증(live authentication)’을 실현합니다. 또한, Liveness(실시간 얼굴 인증), 문서 진위 검증, 연령 검증, 중복 사용자 탐지 등 각 단계가 개별적으로 작동할 때는 완전한 신뢰를 보장하기 어렵습니다.
ARGOS는 이러한 구조적 한계를 해결하기 위해, 인증의 모든 과정을 하나의 흐름으로 통합한 End-to-End Identity Verification Platform을 제공하고 있습니다.
1) 실시간 얼굴 인증 – Liveness 간 비교로 진짜 사람을 구별하다
ARGOS의 Liveness Detection은 단순히 “움직임이 있는가”를 확인하는 데 그치지 않습니다. 시스템은 인증 과정 중 생성되는 각 Liveness 이미지(프레임)를 상호 비교하여, 모든 프레임의 얼굴이 동일한 인물인지, 합성 혹은 교체된 이미지가 섞였는지를 판별합니다. 예를 들어, 사용자가 눈을 깜빡이거나 고개를 돌리는 장면을 연속 캡처해
AI가 자동으로 “각 프레임의 얼굴 일치 여부”를 분석하는 방식입니다.
이 과정을 통해 실리콘 마스크, 정지 이미지, 딥페이크 합성 영상은 통과할 수 없으며, ‘실제 사람만 인증이 가능한 시스템’을 구현합니다.
2) 연령 검증 – 얼굴 기반의 실시간 판단으로 신뢰 확보
ARGOS는 신분증 정보에 의존하지 않고, 얼굴 자체의 나이 특징(주름, 피부 톤, 윤곽 변화 등)을 분석해 연령대를 예측합니다. 이는 기존 “생년월일 입력”이나 “신분증 업로드”보다 한층 높은 수준의 연령 검증을 제공합니다.
특히, 미성년자가 부모의 신분증으로 대리 인증을 시도해도 얼굴 특징이 일치하지 않으면 인증이 즉시 거부됩니다. 이처럼 ARGOS는 “나이 인증(Age Check)”이 아니라 “연령 신뢰(Age Trust)”를 제공합니다.
3) 데이터 위조·대리 인증·중복 계정의 End-to-End 차단
ARGOS는 인증의 시작부터 종료까지 모든 데이터를 하나의 흐름(End-to-End)으로 추적합니다. 이를 통해 인증 중간 단계에서 발생할 수 있는 위조 신분증, 캡처 이미지, 대리 인증, 중복 계정 생성을 사전에 탐지합니다.
예: 동일한 얼굴이 여러 계정에서 사용될 경우 자동 식별
예: Liveness 중간 프레임과 ID 사진의 불일치 시 인증 거부
예: 해외 IP를 통한 비정상 접근 시 자동 차단
이 모든 과정은 단일 플랫폼 내에서 실시간으로 수행되며, 외부 검증 모듈 없이도 완결된 인증 체계를 제공합니다.
4) End-to-End 플랫폼의 강점! 보안과 UX의 공존
기존 인증 서비스는 얼굴 인식, 문서 검증, 연령 확인을 각각 다른 시스템으로 처리했기 때문에 속도 저하, 데이터 전달 오류, 사용성 저하가 빈번했습니다. ARGOS는 이를 하나의 End-to-End 플랫폼으로 통합하여, 보안성을 높이는 동시에 사용자 경험(UX)도 극대화합니다. 즉, 기업은 복잡한 개발 과정 없이 ‘하나의 플랫폼으로 모든 인증 절차를 관리’ 할 수 있습니다.
API 1회 연동으로 전체 인증 프로세스 구축 가능
단 하루 만에 통합(Onboarding in 1 Day)
Global 규제(KYC·AML·GDPR) 자동 준수 지원
PASS 앱 사태는 우리에게 “얼굴을 인식하는 기술”보다 중요한 것은 “진짜 사람을 구별하는 기술”임을 보여주었습니다. ARGOS는 단순히 ID를 확인하는 것이 아니라, 신원을 증명하고 신뢰를 복원하는 인증 인프라를 제공합니다.
