온보딩이나 인증을 위해 생체 인식에 의존하는 경우 활동 감지 (또한 프레젠테이션 공격 탐지, PAD)를 멈추는 것이 중요합니다. 생체 인식 스푸핑—인쇄된 사진과 화면 리플레이부터 3D 마스크와 딥페이크까지. 제대로 된 라이브니스 감지는 살아있는 인간 인식이나 매칭이 일어나기 전에 센서에서.
빠른 답변: 라이브니스 감지가 스푸핑을 막는 방법
생체 감지는 생체 신호를 구별합니다. 프레젠테이션 공격(PA) 능동적 자극(예: 눈 깜빡임, 고개 돌리기, 무작위 단어) 또는 수동적 분석(예: 질감, 빛 반응, 깊이 단서, 미세 움직임)을 사용합니다. ISO/IEC 30107-3은 PAD를 평가하고 보고하는 방법을 명시합니다., 공급업체를 직접 비교할 수 있게 해줍니다.
정의 및 핵심 개념
프레젠테이션 공격(PA): 인공물(사진, 비디오, 마스크)이나 조작된 미디어(재생, 딥페이크)를 이용해 생체 인식 센서를 파괴하려는 시도입니다.
프레젠테이션 공격 탐지(PAD): PA를 감지하고 표준화된 방식으로 결과를 보고하는 메커니즘 ISO / IEC 30107 - 3 구매자가 솔루션을 비교할 수 있도록 테스트 및 보고 방법을 제시합니다.
생체 인식 스푸핑은 진화했습니다. 초기 PA는 2D 프린트에 의존했지만, 최근 공격은 고해상도 OLED 리플레이, 텍스처가 적용된 3D 마스크, 그리고 AI로 생성된 딥페이크를 사용합니다. 최신 PAD 알고리즘은 다중 신호 단서(예: 피부 미세 질감, 광도 반응, 깊이/적외선)를 분석하여 샘플의 생체 여부를 판별합니다.
능동적 vs. 수동적 생명 감지
- 활동적인 활력: 사용자는 지시에 반응합니다. 눈 깜빡이기, 미소 짓기, 좌회전/우회전, 문구 말하기. 장점: 간단한 멘탈 모델, 기본적인 2D 공격에 강함. 단점: 마찰 증가, 지시를 단순하게 구현하면 학습/스푸핑될 수 있음.
- 수동적 활력: 프롬프트가 없습니다. 이 모델은 자연스러운 신호(텍스처, 동작 시차, 원격 PPG, 렌즈 반사)를 통해 생동감을 추론합니다. 장점: 뛰어난 UX; 대량 KYC(고객 경험 인증)에 맞춰 확장 가능. 단점: 구축이 어렵고, 새로운 PA 및 딥페이크에 발맞춰야 함.
실제로 많은 플랫폼은 다음을 통해 두 가지를 결합합니다. 위험 적응형 흐름: 수동적으로 시작하여 활성으로 확대되거나 멀티 모달 위험이 높은 경우 확인합니다(예: 속도 이상, TOR, 장치 에뮬레이션).
현장에서 볼 수 있는 탐지 방법
- 텍스처 및 반사율 분석: 피부는 디스플레이와 인쇄 매체와 다른 미세한 미세 질감과 광도 반응을 보입니다.
- 미세한 움직임과 시간적 단서: 무의식적인 눈 깜박임, 미묘한 머리 흔들림, 프레임 전반에 걸친 혈류 신호는 설득력 있게 재생하기 어렵습니다.
- 깊이 및 IR 감지: 구조화된 빛이나 ToF는 2D 스푸핑을 실패하게 만들 수 있지만, IR은 재료의 차이를 강조합니다.
- 도전-응답(활성): 무작위 프롬프트로 인해 공격자 비용이 증가합니다.
- 멀티 모달: 얼굴, 음성, 기기 신호를 결합하면 거짓 수락을 더욱 줄일 수 있습니다.
공급업체마다 이러한 기술을 다르게 설명하지만 이는 업계 문헌과 구매자 가이드에서 인정하는 PAD 범주에 해당합니다.
생체 인식 스푸핑에는 어떤 유형이 있나요?
다양한 종류의 생체 인식 스푸핑은 서로 다른 인증 방식을 매칭하고 취약점을 악용합니다. 결과적으로, 프레젠테이션 공격은 다음을 포함한 여러 생체 인식 방식을 표적으로 삼을 수 있습니다.
얼굴 인식 스푸핑 공격
- 인쇄 공격: 정지 사진(무광/유광) 사용. PAD 플래그로 평평함 표시, 반사 하이라이트, 또는 인쇄 그레인으로 인한 앨리어싱.
- 리플레이 공격: 휴대폰/모니터에 얼굴 영상을 표시합니다. 패시브 PAD는 화면 새로 고침 아티팩트 등을 검사하고, 액티브 PAD는 난이도를 높입니다.
- 3D 마스크 공격: 윤곽선이 있는 실리콘/라텍스/3D 프린팅 마스크. 깊이/적외선 감지 및 재료 반사율 분석을 통해 이러한 문제를 해결할 수 있습니다.
- 딥페이크 공격: AI가 생성했거나 얼굴을 바꾼 영상은 간단한 검사만 통과할 수 있습니다. 시간적 불일치를 찾아보세요.
지문 인식 스푸핑 공격
- 가짜 지문: 실리콘, 젤라틴 또는 전도성 잉크로 만든 캐스트. PAD는 땀구멍 역학을 활용합니다., 정전용량/광학 차이, 그리고 생명력 신호(예: 시간에 따른 땀)
- 잠재 지문: 센서에서 잔여물을 제거하여 능선 세부 묘사를 재현합니다. 정기적인 센서 위생 관리 시간 기반 활동성은 위험을 완화합니다.
- 3D로 인쇄된 지문: 능선 깊이를 근사화한 고해상도 몰드; APCER/BPCER 목표에 맞춰 조정된 다중 스펙트럼 감지 및 챌린지 임계값을 갖춘 카운터.
홍채 인식 스푸핑 공격
- 디지털 홍채 이미지: 홍채의 고품질 인쇄 또는 표시. PAD는 동공 반응 부족을 감지합니다., 반사 패턴 불일치, 그리고 평평한 깊이.
- 인공 눈 또는 콘택트 렌즈: 질감이 있는 렌즈나 보철물은 홍채 패턴을 모방하려고 시도합니다. 반사율, 유령 같은, 그리고 동작 확인이 도움이 됩니다.
- 물리적 눈(사체/동물): 드물지만 극단적인 경우입니다. 열 반응과 반사 반응은 비생체 샘플을 노출시킵니다. (범위와 유병률은 다양하며, 공개된 문헌에서 증거는 제한적입니다. 직접 검사를 통해 검증해 보세요.)
산업 전반의 생체 감지 사용 사례
은행업과 암호화폐부터 통신과 전자 정부까지, 이러한 사용 사례는 KYC, 고액 이체, SIM/eSIM 흐름, 디지털 ID 액세스, 원격 시험에서 스푸핑을 방지하는 라이브니스를 보여주며, 사기를 방지하는 동시에 사용자 마찰을 낮춥니다.
뱅킹, 핀테크, 암호화폐
- KYC 온보딩: 얼굴 인식을 통해 얼굴 인식을 실시하기 전에 인쇄/재생/딥페이크 시도를 차단합니다.
- 고가치 이전 승인: 수동적 활성도 → 임계값 이상의 전송에 대한 얼굴 일치.
- 계정 복구: 이메일/전화번호가 변경되거나 기기가 다시 바인딩되면 라이브니스 + 매치가 이루어집니다.
- ATM/지점 키오스크: 카드 없이 현금을 인출하려면 키오스크에서 직접 확인하세요.
- 암호화폐 거래소 출금: 외부 지갑으로 지급하기 전에 활성 상태를 확인합니다.
결제 및 전자상거래
- 신규 계정 사기 검사: 빠른 결제로 첫 구매 시 수동적 활성 상태를 유지합니다.
- 환불/환불 거부 방지: 고가 환불이나 카드 재토큰화를 실행하기 전에 활성화합니다.
- 가맹점 온보딩: 마켓플레이스 판매자 가입 시 실질 소유자 검증을 위한 활성화.
통신
- SIM 등록 / eKYC: 신원 대여 및 합성 ID를 방지하기 위한 생체 정보.
- SIM 교체 및 eSIM 활성화: 포트아웃이나 SIM 변경 전에 활성화를 강화하세요.
- 소매점 사기 방지: 매장 내 태블릿은 생체 정보를 포착하여 SIM을 합법적인 고객에게 연결합니다.
정부, 공공 부문, eID
- 디지털 ID 발급/갱신: 프레젠테이션 공격을 차단하기 위한 실시간성을 갖춘 원격 등록.
- 시민 서비스 포털: 혜택, 세금 기록 또는 건강 데이터에 접근하기 전에 생체 정보를 확인하세요.
- 국경/전자게이트 시험 운영: 자동 게이트에서 문서 칩 검사를 통해 생체 정보를 확인하세요(시범 프로그램).
교육, 시험, 자격증
- 원격 감독: 시작 시 활성 상태를 유지하고 주기적으로 검사를 실시하여 사칭을 방지합니다.
- 자격증 발급: 인증서나 디지털 배지를 발급하기 전에 생체 정보를 확인해야 합니다.
효과적인 생체 감지: Shaip와 협력하세요
생체 감지는 지문, 리플레이, 3D 마스크, 딥페이크 등 생체 정보 위조를 막는 첫 번째 방어 수단입니다. 수동 중심의 위험 적응형 흐름과 지속적인 모니터링을 결합하여 자체 트래픽의 성능을 검증하세요.
Shaip의 도움 방식(검증됨, 생산 준비 완료):
- 라이선스 준비 완료 얼굴 스푸핑 방지 데이터 세트 피복 3D 마스크, 메이크업, 리플레이 공격라이브니스/PAD 모델 학습을 위한 선택적 레이블 지정 및 QA 기능이 포함되어 있습니다. 예를 들어, 다음과 같은 큐레이팅된 비디오 세트가 있습니다. 3D 마스크 & 메이크업 어택 수집 및 실제 + 리플레이 수천 개의 클립으로 구성된 라이브러리입니다.
- 사례 연구: 의 배달 25,000개의 스푸핑 방지 영상 에 12,500 참가자 (각각 실제 1개 + 리플레이 1개), 기록됨 720p+ / ≥26FPS과 5개 민족 사기 탐지의 견고성을 개선하기 위해 구축된 구조화된 메타데이터입니다.
- 윤리적으로 수집된 얼굴 이미지 및 비디오 데이터 기업의 얼굴 인식 이니셔티브에 대한 교육을 가속화하고 편견을 줄이기 위해.
이야기해 보자: 당신이 필요한 경우 생체정보 수집, 얼굴 인식 데이터 세트 소싱 또는 AI 데이터 주석 새로운 공격에 대비해 PAD를 강화하기 위해 Shaip은 범위를 지정할 수 있습니다. 위험 적합성 데이터 세트 귀사의 KPI와 규정 준수 요구 사항에 맞춰 평가 계획을 수립하세요.
