2011.08.04

기고 | 소셜 미디어와 만난 안면 인식 기술, "더 어려워지는 프라이버시 사수"

Richard Power | CSO

페이스북 사용자는 아마도 올해나 내년쯤이면 10억 명에 달할 것으로 보인다. 이 숫자는 단순히 사용자 수가 아니라, 이만큼의 개인 정보가 축적되며, 프라이버시와 보안에 미치는 영향이 상상을 초월할 수 있다는 의미다.
 
10억 명의 정치적인 관점, 성적 취향, 관계, 취미, 결점, 감정 상태, 직장에서의 태도 등을 누군가 접근해서 볼 수 있다고 상상해 봐라.
 
정부, 기업, 혹은 심지어 겉으로 친절해 보이는 세계 기구 등을 대신해 이런 데이터를 수집한다는 것은 거센 반대에 부딪힐 것이다. 불가능하지는 않다 하더라도 매우 어려울 것으로 보이며, 변호사들과 돈, 어쩌면 총도 필요할지 모른다.
 
그러나 소셜 미디어 시대에는 이례적으로 점점 더 많은 사람들이 그러한 민감한 정보들(혹은 적어도 그걸 풀어낼만한 핵심 사항들)을 온라인에 기꺼이 게시하고 있으며, 마케팅 담당자, 스토커, 기자, 법 집행기관, 민간 조사원, 인적 자원 인력 등과 사랑, 사업 혹은 정치에서의 라이벌들에게 속임수로든 추론이나 소환을 통해서든, 합법적으로든 불법적으로든, 윤리적으로든 비윤리적으로든 직간접적으로 접근할 수 있다.
 
이것들은 모두 현재 일어나고 있으며, 단지 전 사이버 공간의 분리된 영역들에 퍼지지 않았을 뿐이다. 다행히 아무 것도 고의적으로 조직적인 방법을 통해 제공되지 않았다.
 
페이스북 프로필 사진의 예를 생각해보자.
 
얼마나 페이스북 계정을 단단히 잠그던 간에, “친구”가 아닌 사람들도 프로필 사진을 볼 수 있다. 그리고 상태 업데이트, 사진, 비디오 “좋아요”, 댓글 등을 단지 현재의 친구나 동료들과 공유할 뿐 아니라 그 울타리를 넓혀가는 것을 대부분의 사람들이 원하고 있다.
 
하지만 어떤 낯선 사람이 길에서 스마트폰으로 당신의 사진을 찍고 그것을 페이스북에 있는 프로필 사진들에 대조해보고는 이름, 생일, 친구 관계나 다른 데이터들을 알아낼 수 있을 뿐 아니라 그 데이터를 일부 도용하고 거기에서 당신의 사회보장번호(Social Security Number, SSN)를 “추측”해낼 수 있다면, 그리고 당연히 그 SSN를 이용하여 당신의 재정이나 의료 정보의 가장 민감한 부분까지 무제한적으로 접근할 수 있다면 어떻게 될까.
 
(이 이야기를 꺼냈던) 이코노미스트지가 서술하는 바에 따르면 그것도 가능하다:
 
"연구자들은 페이스북 프로필과 정부 데이터베이스 등을 비롯한 공개 소스를 마이닝하여 각 학생들의 적어도 한 가지 개인적인 관심을 알아낼 수 있었고, 몇몇 경우에는 SSN의 앞 다섯 자리 숫자까지 찾아냈다. 이것은 모두 그 분야 기술에 전문화된 기업들을 인수하거나 소프트웨어 라이선스를 획득한 구글이나 페이스북 같은 곳에서 얼굴 인식 소프트웨어를 사용하는 것과 관련된 우려들을 뒷받침해준다. (구글은 연구자들이 시험에서 사용했던 프로그램을 소유한 피츠버그 패턴 인식(Pittsburgh Pattern Recognition)이라는 회사를 최근에 인수했다.) 유럽의 개인정보 보호 담당자는 페이스북이 얼굴 인식 소프트웨어를 사용하여 사람들이 자신들이 업로드한 사진 속에 담겨있는 친구들에 ‘태그’를 달거나 식별할 수 있도록 하는 것을 유심히 지켜보겠다고 말했다. 그리고 미국의 개인보호 운동가들은 규제 당국에 공식적인 불만을 표시했다. (페이스북은 사람들이 개인정보 보호 설정을 바꾸어 포토-태깅 서비스를 사용하지 않도록 선택할 수 있다고 지적한다.)" 이코노미스트(The Economist), 2011년 7월 28일
 
2년 전 SSN이 추정될 수 있음을 증명한 블록버스터급 연구로 세상을 뒤흔들었던 카네기 멜론 대학의 두 연구자인 알레산드로 아퀴지트와 랄프 고스가 얼굴 인식 기술과 관련해 다시 한번 세상을 뒤집었다.
 
연구 주체의 SSN에 관한 정보를 얻었던 그 실험은 세 실험 중 세 번째에 해당하는 것이었다.
 
첫 번째 실험은 온라인 내의 신원확인에 관한 것이었다. 연구자들은 인기 있는 데이트 사이트(사람들이 개인정보 보호를 위해 익명을 사용하는 곳)에서 신원 미확인 프로필들을 가져와 그것들을 얼굴 인식 소프트웨어를 이용하여 페이스북에 올라와 있는 신원 확인 프로필들과 비교하고(네트워크 자체에 로그인할 필요도 없이 단순히 검색 엔진을 통해 볼 수 있는 페이스북 프로필을 이용하였다), 마침내 상당한 비율의 데이트 사이트 이용자들의 신원을 확인 할 수 있었다.
 
두 번째 실험은 오프라인에서 획득한 이미지를 온라인에서 신원확인을 하는 것이었다 개념적으로는 첫 번째 실험과 유사하지만, 연구자들은 값싼 웹캠으로 카네기 멜론 대학 캠퍼스에 있는 학생들의 사진을 세 장씩 찍고 그들의 신원확인을 시도했다. 32%이상을 알아내는데 평균적으로 3초가 걸렸다.
 
연구의 공동 저자 중 한 명인 아퀴지트는 블랙 햇 브리핑(Black Hat Briefings)에서 연구 결과를 발표할 예정이다. 아퀴지트는 필자의 동료로 카네기 멜론 대학의 21세기 사이버 보안 및 프라이버시를 연구하는 고급 학술 연구 프로그램인 싸이랩(CyLab)에 몸담고 있다. 그는 또한 카네기 멜론의 하인즈 칼리지(Heinz College)에서 정보 기술과 공공 정책 과목을 맡고 있는 부교수다.
 




2011.08.04

기고 | 소셜 미디어와 만난 안면 인식 기술, "더 어려워지는 프라이버시 사수"

Richard Power | CSO

페이스북 사용자는 아마도 올해나 내년쯤이면 10억 명에 달할 것으로 보인다. 이 숫자는 단순히 사용자 수가 아니라, 이만큼의 개인 정보가 축적되며, 프라이버시와 보안에 미치는 영향이 상상을 초월할 수 있다는 의미다.
 
10억 명의 정치적인 관점, 성적 취향, 관계, 취미, 결점, 감정 상태, 직장에서의 태도 등을 누군가 접근해서 볼 수 있다고 상상해 봐라.
 
정부, 기업, 혹은 심지어 겉으로 친절해 보이는 세계 기구 등을 대신해 이런 데이터를 수집한다는 것은 거센 반대에 부딪힐 것이다. 불가능하지는 않다 하더라도 매우 어려울 것으로 보이며, 변호사들과 돈, 어쩌면 총도 필요할지 모른다.
 
그러나 소셜 미디어 시대에는 이례적으로 점점 더 많은 사람들이 그러한 민감한 정보들(혹은 적어도 그걸 풀어낼만한 핵심 사항들)을 온라인에 기꺼이 게시하고 있으며, 마케팅 담당자, 스토커, 기자, 법 집행기관, 민간 조사원, 인적 자원 인력 등과 사랑, 사업 혹은 정치에서의 라이벌들에게 속임수로든 추론이나 소환을 통해서든, 합법적으로든 불법적으로든, 윤리적으로든 비윤리적으로든 직간접적으로 접근할 수 있다.
 
이것들은 모두 현재 일어나고 있으며, 단지 전 사이버 공간의 분리된 영역들에 퍼지지 않았을 뿐이다. 다행히 아무 것도 고의적으로 조직적인 방법을 통해 제공되지 않았다.
 
페이스북 프로필 사진의 예를 생각해보자.
 
얼마나 페이스북 계정을 단단히 잠그던 간에, “친구”가 아닌 사람들도 프로필 사진을 볼 수 있다. 그리고 상태 업데이트, 사진, 비디오 “좋아요”, 댓글 등을 단지 현재의 친구나 동료들과 공유할 뿐 아니라 그 울타리를 넓혀가는 것을 대부분의 사람들이 원하고 있다.
 
하지만 어떤 낯선 사람이 길에서 스마트폰으로 당신의 사진을 찍고 그것을 페이스북에 있는 프로필 사진들에 대조해보고는 이름, 생일, 친구 관계나 다른 데이터들을 알아낼 수 있을 뿐 아니라 그 데이터를 일부 도용하고 거기에서 당신의 사회보장번호(Social Security Number, SSN)를 “추측”해낼 수 있다면, 그리고 당연히 그 SSN를 이용하여 당신의 재정이나 의료 정보의 가장 민감한 부분까지 무제한적으로 접근할 수 있다면 어떻게 될까.
 
(이 이야기를 꺼냈던) 이코노미스트지가 서술하는 바에 따르면 그것도 가능하다:
 
"연구자들은 페이스북 프로필과 정부 데이터베이스 등을 비롯한 공개 소스를 마이닝하여 각 학생들의 적어도 한 가지 개인적인 관심을 알아낼 수 있었고, 몇몇 경우에는 SSN의 앞 다섯 자리 숫자까지 찾아냈다. 이것은 모두 그 분야 기술에 전문화된 기업들을 인수하거나 소프트웨어 라이선스를 획득한 구글이나 페이스북 같은 곳에서 얼굴 인식 소프트웨어를 사용하는 것과 관련된 우려들을 뒷받침해준다. (구글은 연구자들이 시험에서 사용했던 프로그램을 소유한 피츠버그 패턴 인식(Pittsburgh Pattern Recognition)이라는 회사를 최근에 인수했다.) 유럽의 개인정보 보호 담당자는 페이스북이 얼굴 인식 소프트웨어를 사용하여 사람들이 자신들이 업로드한 사진 속에 담겨있는 친구들에 ‘태그’를 달거나 식별할 수 있도록 하는 것을 유심히 지켜보겠다고 말했다. 그리고 미국의 개인보호 운동가들은 규제 당국에 공식적인 불만을 표시했다. (페이스북은 사람들이 개인정보 보호 설정을 바꾸어 포토-태깅 서비스를 사용하지 않도록 선택할 수 있다고 지적한다.)" 이코노미스트(The Economist), 2011년 7월 28일
 
2년 전 SSN이 추정될 수 있음을 증명한 블록버스터급 연구로 세상을 뒤흔들었던 카네기 멜론 대학의 두 연구자인 알레산드로 아퀴지트와 랄프 고스가 얼굴 인식 기술과 관련해 다시 한번 세상을 뒤집었다.
 
연구 주체의 SSN에 관한 정보를 얻었던 그 실험은 세 실험 중 세 번째에 해당하는 것이었다.
 
첫 번째 실험은 온라인 내의 신원확인에 관한 것이었다. 연구자들은 인기 있는 데이트 사이트(사람들이 개인정보 보호를 위해 익명을 사용하는 곳)에서 신원 미확인 프로필들을 가져와 그것들을 얼굴 인식 소프트웨어를 이용하여 페이스북에 올라와 있는 신원 확인 프로필들과 비교하고(네트워크 자체에 로그인할 필요도 없이 단순히 검색 엔진을 통해 볼 수 있는 페이스북 프로필을 이용하였다), 마침내 상당한 비율의 데이트 사이트 이용자들의 신원을 확인 할 수 있었다.
 
두 번째 실험은 오프라인에서 획득한 이미지를 온라인에서 신원확인을 하는 것이었다 개념적으로는 첫 번째 실험과 유사하지만, 연구자들은 값싼 웹캠으로 카네기 멜론 대학 캠퍼스에 있는 학생들의 사진을 세 장씩 찍고 그들의 신원확인을 시도했다. 32%이상을 알아내는데 평균적으로 3초가 걸렸다.
 
연구의 공동 저자 중 한 명인 아퀴지트는 블랙 햇 브리핑(Black Hat Briefings)에서 연구 결과를 발표할 예정이다. 아퀴지트는 필자의 동료로 카네기 멜론 대학의 21세기 사이버 보안 및 프라이버시를 연구하는 고급 학술 연구 프로그램인 싸이랩(CyLab)에 몸담고 있다. 그는 또한 카네기 멜론의 하인즈 칼리지(Heinz College)에서 정보 기술과 공공 정책 과목을 맡고 있는 부교수다.
 


X