iBeta Level 1 PAD 테스트 통과: 360회 공격 시도에서 0% 성공률 기록 (KO)

얼굴 매칭은 그 뒤에 있는 라이브니스 확인만큼 신뢰할 수 있습니다. 공격자가 인쇄된 사진을 들거나, 비디오를 재생하거나, 마스크를 쓰고 통과할 수 있다면 생체 인식은 무의미합니다. 프레젠테이션 공격 탐지(PAD)는 실제 사람과 위조를 구별하는 기술이며, PAD 시스템이 작동한다는 것을 증명하는 방법은 독립적인 연구소에서 공격을 받도록 하는 것입니다.

Didit은 정확히 그렇게 했습니다. Didit의 생체 인식 라이브니스 기능은 ISO/IEC 30107-3에 따라 iBeta Level 1 Presentation Attack Detection 테스트를 통과했으며, NIST/NVLAP 공인 연구소인 iBeta Quality Assurance의 테스트 결과 360번의 공격 시도에서 0%의 공격 성공률과 0%의 IAPAR을 달성했습니다. 이 가이드는 PAD 테스트가 무엇인지, iBeta가 어떻게 테스트를 실행하는지, 그리고 Didit의 결과가 정확히 무엇을 의미하는지 설명합니다.

주요 내용

• Didit은 ISO/IEC 30107-3에 따른 iBeta Level 1 PAD 테스트를 통과했습니다. ISO/IEC 30107-3은 생체 인식 프레젠테이션 공격 탐지에 대한 국제 표준입니다.
• 360번의 공격 시도에서 0% 공격 성공률 / 0% IAPAR을 기록했습니다. 모든 스푸핑 시도는 올바르게 거부되었습니다.
• NIST/NVLAP 공인 테스트 연구소(연구소 코드 200962)인 iBeta Quality Assurance에 의해 테스트되었습니다. 이는 자체 평가가 아닌 독립적인 제3자 평가입니다.
• 결과는 Level 1입니다. Didit은 Level 1을 보고하며, Level 2를 주장하지 않습니다. 적합성 서한은 2026년 1월 5일부터 2026년 2월 4일까지의 테스트를 거쳐 2026년 2월 4일자로 발급되었습니다.
• 인증된 시스템은 실제 시스템입니다. Didit의 생체 인식 라이브니스, 즉 통합하는 동일한 수동 및 능동 라이브니스 모듈입니다.

프레젠테이션 공격 탐지란 무엇인가요?

프레젠테이션 공격은 인쇄된 사진, 비디오 재생 화면, 종이 마스크, 실리콘 마스크, 잘라낸 이미지 등 센서에 가짜를 제시하여 생체 인식 시스템을 무력화하려는 모든 시도를 말합니다. 프레젠테이션 공격 탐지(PAD)는 시스템이 이러한 가짜를 탐지하고 거부하면서도 실제 사용자를 받아들이는 능력입니다.

ISO/IEC 30107-3은 PAD 시스템을 객관적으로 테스트하는 방법을 정의하는 국제 표준입니다. 이 표준은 공급업체가 마케팅 언어로 스푸핑 방지 기능을 설명하는 대신, 정의된 공격 유형('종'), 실제 사용자 집합, 공격 성공 빈도와 실제 사용자가 잘못 거부되는 빈도를 정량화하는 측정항목을 포함하는 구조화된 방법론을 제시합니다. 공격자 측의 주요 측정항목은 IAPAR(Impostor Attack Presentation Accept Rate, 시스템이 잘못 수락하는 공격 프레젠테이션의 비율)입니다. 낮을수록 좋으며, 0%는 어떤 공격도 통과하지 못했음을 의미합니다.

iBeta가 테스트를 실행하는 방법

iBeta Quality Assurance는 ISO/IEC 30107-3 PAD 평가를 수행하는 연구소 중 하나이며, NIST/NVLAP(테스트 연구소 코드 200962)의 인증을 받았습니다. 이는 국가 인증 프로그램이 이러한 테스트를 수행할 연구소의 역량을 검증했음을 의미합니다. 이러한 인증은 결과의 신뢰성을 높여줍니다. 공격은 공급업체가 아닌 독립적인 전문가 연구소에서 설계하고 실행합니다.

Didit의 평가를 위한 테스트는 다음과 같이 구성되었습니다.

• 6명의 등록된 사용자가 각각 5번의 성공적인 실제 인증을 완료하여 실제 사용자가 통과하는지 확인했습니다.
• 6가지 프레젠테이션 공격 유형이 사용자당 10회씩 시도되었으며, 총 360번의 공격 시도(6가지 유형 × 10회 시도 × 6명의 사용자)가 이루어졌습니다.
• 테스트된 시스템은 Didit Biometric Authentication v2.0으로, iOS 18.4.1이 실행되는 Apple iPhone 13 Pro의 기본 Safari를 통해 백엔드 클라우드 구성 요소와 함께 액세스되었습니다. 이는 실제 장치 및 클라우드 구성입니다.
• 테스트 기간: 2026년 1월 5일부터 2026년 2월 4일까지이며, 적합성 서한은 2026년 2월 4일자로 iBeta의 생체 인식 책임자가 서명했습니다.

결과: 0% PA 성공률 / 0% IAPAR. 360번의 모든 공격 시도에서 스푸핑이 한 번도 허용되지 않았습니다. 이 시스템은 ISO/IEC 30107-3 Level 1을 준수합니다.

Level 1 vs Level 2 — 솔직한 보고

ISO/IEC 30107-3 PAD 테스트는 시스템에 가해지는 공격의 정교함에 따라 레벨이 다릅니다. Level 1은 쉽게 구할 수 있는 저비용 프레젠테이션 공격 도구를 사용합니다. Level 2는 더 정교하고 맞춤 제작된 도구를 도입합니다.

Didit의 결과는 Level 1이며, Didit은 이를 Level 1로 보고합니다. Level 2라고 과장하지 않습니다. 이러한 서한의 일반적인 12개월 재테스트 주기를 고려할 때, 다음 평가는 2027년 2월 4일경에 예정되어 있으며, 이때 Level 2 업그레이드를 고려할 수 있습니다. 레벨을 정확하게 명시하는 것이 중요합니다. 스푸핑 방지 주장을 평가하는 구매자는 'Level 1'이 Level 1을 의미한다고 신뢰할 수 있어야 합니다.

왜 중요한가요?

라이브니스는 가장 흔하고 확장 가능한 신원 사기, 즉 물리적으로 존재하지 않고 다른 사람의 사진이나 딥페이크 비디오를 제시하는 것을 막는 통제 수단입니다. 규제된 온보딩 흐름의 경우, 라이브니스의 강도는 생체 인식에 얼마나 자신 있게 의존할 수 있는지에 직접적인 영향을 미치며, 규제 기관은 스푸핑 방지 기능이 주장되는 것이 아니라 증명되기를 점점 더 기대합니다.

독립적인 PAD 테스트 결과는 스푸핑 방지 주장을 증거로 전환합니다. '우리의 라이브니스는 강력합니다'는 마케팅 문구입니다. 'ISO/IEC 30107-3에 따른 공인 iBeta Level 1 평가에서 360번의 공격 시도에 대해 0% 공격 성공률'은 규제 준수 팀이 보안 설문지나 규제 기관 제출 시 인용할 수 있는 사실입니다.

Didit이 어떻게 도움이 되나요?

제품에 독립적으로 테스트된 라이브니스. iBeta가 평가한 생체 인식 라이브니스는 Didit의 인증 흐름을 구동하는 것과 동일합니다. 수동 라이브니스는 0.10달러, 능동 라이브니스는 0.15달러에 제공되며, 얼굴 매칭(1:1)은 0.05달러입니다. 전체 핵심 KYC 번들(신분증 확인, 수동 라이브니스, 얼굴 매칭, IP 분석)은 확인당 0.33달러이며, 2초 미만의 추론 시간을 제공합니다.

배포 가능한 결과. iBeta Level 1 PAD 적합성 서한은 요청 시 배포 가능하며 Didit 사이트에 링크되어 있습니다. 따라서 NDA 없이 마케팅, 보안 설문지 및 규제 기관 제출 시 생체 인식 및 스푸핑 방지 주장을 지원할 수 있습니다.

정직한 보고. Didit은 Level 1, 360번의 시도에서 0% IAPAR이라는 결과를 있는 그대로 보고하며, Level 2로 과장하지 않습니다. 갱신 일정은 2027년 2월 4일경으로 예정된 재테스트를 추적합니다.

전체 증명 스택의 일부. iBeta 결과는 ISO/IEC 27001:2022 인증(인증 번호 ES144068), SOC 2 Type 1 증명(보안, 가용성, 기밀성) 및 스페인 정부 샌드박스 결론(능동 라이브니스를 포함한 안면 생체 인식을 기반으로 구축됨)에 합류하여 Didit의 원격 확인이 대면 표준을 초과함을 보여줍니다. iBeta 테스트가 측정한 생체 인식 강도는 정부 결론에 도달할 수 있었던 이유 중 하나입니다.

사용 사례

• 감독관 또는 감사관에게 스푸핑 방지 기능을 증명해야 하는 규제된 온보딩.
• 프레젠테이션 공격이 빈번한 사기 벡터인 고위험 산업(핀테크, 암호화폐, iGaming).
• ISO/IEC 30107-3 PAD 테스트 결과를 구체적으로 요구하는 보안 설문지.
• 신뢰할 수 있는 라이브니스 확인에 의존하는 연령 확인 및 생체 인식 인증 흐름.

자주 묻는 질문

Didit은 iBeta Level 1인가요, Level 2인가요?

Level 1입니다. Didit은 ISO/IEC 30107-3에 따른 iBeta Level 1 PAD 테스트에서 공격 성공률 0%를 기록하며 통과했습니다. Didit은 Level 1을 보고하며 Level 2를 주장하지 않습니다. 다음 재테스트에서 Level 2 업그레이드를 고려할 수 있습니다.

0% IAPAR은 무엇을 의미하나요?

IAPAR(Impostor Attack Presentation Accept Rate)은 시스템이 잘못 수락하는 프레젠테이션 공격의 비율입니다. 0%는 평가에서 360번의 모든 공격 시도에서 스푸핑이 한 번도 허용되지 않았음을 의미합니다.

얼마나 많은 공격이 테스트되었나요?

360번의 공격 시도 — 6가지 프레젠테이션 공격 유형이 각각 10번씩, 6명의 등록된 사용자를 대상으로 테스트되었습니다.

누가 테스트를 실행했나요?

NIST/NVLAP 공인 테스트 연구소(연구소 코드 200962)인 iBeta Quality Assurance가 ISO/IEC 30107-3에 따라 테스트를 실행했습니다. 적합성 서한은 2026년 2월 4일자입니다.

iBeta 결과를 받을 수 있나요?

예. iBeta Level 1 PAD 적합성 서한은 요청 시 배포 가능하며 Didit의 보안 및 규제 준수 허브에 링크되어 있습니다.

시작할 준비가 되셨나요?

보안 및 규제 준수 허브에서 Didit의 전체 증명 스택을 확인하고, 신분증 확인 제품 페이지에서 라이브니스 및 생체 인식 확인 기능을 탐색하고, 가격 페이지에서 투명한 확인당 가격을 검토하세요. 준비가 되면 무료로 시작하세요. 매월 500건의 무료 KYC 확인과 모든 흐름에서 iBeta Level 1 테스트를 거친 라이브니스 기능을 제공합니다.