.svg)
AI 솔루션 문의하기
얼굴결제는 지갑을 꺼내거나 비밀번호를 입력할 필요 없이, 카메라를 바라보는 것만으로 거래를 완료할 수 있는 매우 편리한 방식입니다. 그러나 이러한 편의성은 새로운 보안 위협을 만들어냅니다. 딥페이크 기술이 발전하면서 고객의 얼굴을 그대로 복제할 수 있게 되었고, 이를 사용하여 무단으로 결제를 시도할 수 있게 된 것입니다.
특히 문제가 되는 것은 고객이 자신의 딥페이크 결제를 인식하지 못할 수 있다는 점입니다. 실제 얼굴 인식만으로는 고객이 의도적으로 승인한 결제인지, 딥페이크 공격인지를 구분할 수 없습니다. 따라서 얼굴 인식을 넘어, 결제 거래의 맥락 자체를 검증하는 기술이 필수적입니다. 거래가 고객의 정상적인 행동 패턴과 맞는지, 지금 바로 이 자리에서 이 결제가 일어나는 것이 합리적인지를 확인해야 합니다.
딥페이크 공격은 얼굴 영상만 위변조하므로, 거래 맥락의 다른 요소들은 조작되지 않습니다. 결제 장소, 결제 시각, 결제 금액, 거래 품목, 구매 패턴 같은 요소들을 종합적으로 분석하면, 딥페이크 공격을 탐지할 수 있습니다.
먼저 결제 장소를 확인합니다. 고객의 GPS 위치로부터 결제 POS의 위치까지의 거리를 측정하여, 고객이 실제로 그 장소에 있는지 확인합니다. 고객이 집에 있는데 매장에서의 결제가 시도된다면 명백히 이상합니다. 또한 결제 시각도 확인합니다. 고객의 이전 구매 패턴으로부터 이 시각에 이 종류의 구매를 할 가능성이 있는지를 평가합니다. 밤중에 음식을 구매하지 않는 고객이 새벽에 갑자기 음식 결제를 시도한다면 의심입니다.
결제 금액도 중요한 신호입니다. 평소 월 지출액의 수십 배에 해당하는 결제가 갑자기 시도된다면, 이는 고객의 의도적 결제가 아닐 가능성이 높습니다. 물론 가끔은 비정상적인 금액의 구매도 이루어지지만, 딥페이크 공격과 구분하기 위해서는 추가 검증이 필요합니다.
또한 구매하는 상품의 종류도 분석합니다. 고객이 지금까지 한 번도 구매하지 않은 종류의 상품을 갑자기 대량으로 구매하려고 한다면 의심입니다. 특히 디지털 제품이나 현금성 상품처럼 환금이 쉬운 상품의 경우 더욱 주의해야 합니다. 그래프 분석을 통해 동일한 상품을 여러 고객이 동시에 구매하려고 할 때 이를 감지하면, 조직화된 사기 공격도 적발할 수 있습니다.
가장 효과적인 방어 수단은 고객 자신이 거래를 인식하는 것입니다. 결제가 시도될 때마다 고객의 핸드폰으로 즉시 알림을 보내고, 고객이 이를 승인해야만 거래가 진행되도록 합니다. 이 과정은 매우 신속하게 이루어져야 하므로, 고객이 이미 결제 의도를 가지고 있다면 몇 초 내에 확인할 수 있어야 합니다.
알림은 단순한 ''거래가 시도되었습니다''라는 메시지가 아니라, 거래의 상세 내용을 포함해야 합니다. 어디서, 무엇을, 얼마에 구매하려고 하는지를 명확하게 표시합니다. 고객이 이 정보를 보고 ''맞다''고 판단하면 승인하고, ''아니다''고 판단하면 거부합니다. 딥페이크 공격자는 고객의 핸드폰 접근 권한이 없으므로, 거래를 승인할 수 없습니다.
모든 거래가 즉시 이루어져야 하는 것은 아닙니다. 이상한 거래일수록 검증 기간을 길게 설정하여, 고객이 거래를 확인할 시간을 줄 수 있습니다. 예를 들어 정상 범위의 거래라면 즉시 승인하지만, 비정상 거래는 고객의 명시적 승인을 기다립니다.
또한 검증 기간 동안 추가 조사도 수행할 수 있습니다. 고객 본인이 그 장소에 있는지를 다른 방식으로 재확인하거나, 다른 생체인증 수단을 추가로 요청할 수 있습니다. 또한 고객의 최근 거래 기록, 통상적인 행동 패턴, 사회 관계망의 신뢰도 같은 추가 정보를 분석합니다. 이 모든 정보가 거래의 정당성을 지지한다면 승인하고, 하나라도 의심 신호가 있으면 거부합니다.
얼굴 인식만으로는 부족할 수 있으므로, 여러 생체인증을 조합합니다. 음성 인증, 지문 인증, 홍채 인증, 맥박 인증 같은 다양한 생체 정보를 함께 검증하면, 딥페이크 공격으로 모든 정보를 동시에 위변조하기는 거의 불가능해집니다.
고객의 행동 패턴도 검증합니다. 터치스크린을 누르는 방식, 기기를 드는 각도, 걷는 속도, 시선의 움직임 같은 미묘한 행동 특징들이 있습니다. 이러한 행동 생체인증은 학습된 개인의 고유한 특성이므로, 타인이 정확하게 모방하기 어렵습니다. 이러한 다층적 검증을 통해, 딥페이크 공격자가 우회할 가능성을 거의 0에 가깝게 만들 수 있습니다.
만약 비정상 거래로 판정되어 결제가 거부된다면, 정상 고객에게 불편을 줄 수 있습니다. 따라서 거부 후 고객이 신속하게 자신의 신원을 재확인하고 거래를 진행할 수 있는 프로세스가 필요합니다.
고객은 고객센터에 전화하거나, 모바일 앱을 통해 추가 인증을 수행할 수 있습니다. 음성 인증, 보안 질문, OTP 입력 같은 다양한 방식의 재인증이 가능합니다. 이 과정을 신속하게 진행하면, 실제 고객은 몇 분 내에 거래를 승인받을 수 있습니다. 한편 딥페이크 공격자는 이러한 재인증 과정을 수행할 수 없으므로, 거래는 영구적으로 거부됩니다.
혹시 딥페이크 공격이 성공하여 부정 거래가 이루어졌다면, 신속하게 적발하고 손실을 복구해야 합니다. 거래 후에도 고객에게 알림이 전송되어, 고객이 자신이 하지 않은 거래를 인식할 수 있도록 합니다.
고객이 거래 이의를 제기하면, 즉시 조사가 시작됩니다. 결제 당시의 얼굴 영상, 위치 정보, 거래 맥락 같은 증거를 분석하여, 이것이 실제 고객인지 딥페이크인지를 판정합니다. 딥페이크로 판정되면, 즉시 결제액을 고객 계좌로 환급합니다. 또한 그 거래 방식을 향후 차단하도록 시스템을 업데이트하여, 같은 방식의 공격이 재발하지 않도록 합니다.
기술적 보안만으로는 부족할 수 있으므로 고객들도 딥페이크 공격의 위험성을 이해하고, 자신의 얼굴 영상이 누출되지 않도록 주의해야 합니다. 금융기관은 정기적으로 고객에게 사기 예방 교육을 제공합니다.
특히 소셜 미디어에 올린 사진이 악용될 수 있음을 경고합니다. 고화질의 얼굴 사진, 다양한 각도의 사진, 여러 표정의 사진이 공개되어 있으면, 이를 사용하여 고품질의 딥페이크를 만들 수 있습니다. 고객들이 소셜 미디어 공개 범위를 제한하고, 민감한 영상은 업로드하지 않도록 조언합니다. 또한 얼굴결제 비밀번호나 생체인증 정보를 타인과 공유하지 않는 것도 중요합니다.
아무리 완벽한 보안 기술도 공격을 완벽하게 막을 수는 없습니다. 따라서 최후의 수단으로 보험 체계를 구축하여 고객이 딥페이크 결제 사기로 인한 손실을 입었다면, 보험에서 이를 보상합니다.
보험의 존재 자체가 고객의 심리적 안정감을 높입니다. 얼굴결제의 편의성을 누리면서도, 혹시 모를 손실에 대한 불안감을 덜 수 있을 것입니다. 또한 보험사도 사기 사건들을 분석하여, 새로운 공격 패턴을 금융기관에 알립니다. 이렇게 보험사-금융기관-고객 간의 삼각형 구조로 이루어진 손실 보상 체계가, 얼굴결제의 신뢰도를 높이는 데 중요한 역할을 합니다.
.svg)
.svg)
