본문으로 건너뛰기
Didit, 신원·사기 방지 인프라 구축 위해 750만 달러 투자 유치
Didit
블로그로 돌아가기
블로그 · 2026년 6월 13일

안면 인식 중 본인 확인: 능동형 vs 수동형 시스템 비교 (KO)

안면 본인 확인(Liveness detection)은 카메라에 비친 인물이 실제 사람인지, 사진, 마스크 또는 딥페이크가 아닌지 확인합니다. 수동형 및 능동형 본인 확인 시스템의 작동 방식, 방어 가능한 공격 유형, Didit의 iBeta 레벨 1 PAD 인증에 대해 알아보세요.

작성자: Didit업데이트됨
how-liveness-detection-works.png

안면 본인 확인(Liveness detection)은 카메라에 비친 인물이 실제 살아있는 사람인지, 즉 사진, 마스크 또는 합성 비디오가 아닌지 확인하는 생체 인식 확인 절차입니다. 이는 "이미지에 얼굴이 나타남"과 "실제 살아있는 사람이 존재함"을 구분하는 기술적인 계층입니다.

이러한 확인 절차가 없으면 얼굴 일치는 쉽게 조작될 수 있습니다. 소셜 미디어나 유출된 데이터베이스에서 쉽게 구할 수 있는 대상의 사진을 가진 공격자는 이를 카메라 앞에 대고 얼굴 일치 확인을 통과할 수 있습니다. 위장 공격 탐지(Presentation Attack Detection, PAD)는 이러한 허점을 메우는 기술 분야입니다. Didit의 본인 확인 모듈은 모든 인증 세션 내에서 실행되며 2초 이내에 결정을 반환합니다.

주요 내용

  • 본인 확인은 단 하나의 질문에 답합니다: 지금 카메라 앞에 살아있는 사람이 있습니까?
  • 수동형 본인 확인 (0.10달러)은 사용자 동작이 필요 없습니다. 모델이 단일 캡처에서 생체 신호를 분석합니다.
  • 능동형 본인 확인 (0.15달러)은 고개 돌리기, 눈 깜박이기 또는 대상을 따라가기 등의 챌린지를 제시하고 실제 신체 반응을 확인합니다.
  • PAD (Presentation Attack Detection)는 공격 유형 및 허용 임계값을 정의하는 ISO/IEC 30107-3 표준입니다.
  • Didit의 수동형 본인 확인은 iBeta에 의해 레벨 1 PAD 인증을 받았습니다: 360번의 시도에서 공격 성공률 0% 및 IAPAR (Impostor Attack Presentation Accept Rate) 0%.
  • 전체 KYC (Know Your Customer) 핵심 워크플로우 — 신분증 확인 + 수동형 본인 확인 + 얼굴 일치 + IP 분석 —는 0.33달러이며, 매월 500회 무료 확인을 제공합니다.

안면 본인 확인이란 무엇인가요?

안면 본인 확인은 생체 인식 흐름의 일부로, 대상이 실제 살아있는 사람인지, 즉 위장 공격이 아닌지 확인합니다. 이 분야의 공식 용어는 위장 공격 탐지(Presentation Attack Detection, PAD)이며, ISO/IEC 30107-3에 표준화되어 있습니다. PAD 시스템은 각 세션을 실제 또는 위장 공격(살아있는 얼굴이 아닌 다른 것을 제시하여 생체 인식 센서를 속이려는 시도)으로 분류합니다.

주요 성능 지표는 IAPAR(Impostor Attack Presentation Accept Rate)입니다. 이는 시스템이 위장 시도를 실제라고 잘못 분류하는 비율을 측정합니다. IAPAR이 낮을수록 좋습니다. 0%는 시스템이 테스트 세트의 모든 공격을 거부했음을 의미합니다.

왜 중요한가요?

얼굴 일치만으로는 "이 얼굴이 참조 이미지와 일치하는가?"라는 질문에 답할 뿐, "이 사람이 살아있는 사람인가?"라는 질문에는 답하지 않습니다. 이들은 다른 질문입니다. 유출된 데이터베이스, 소셜 미디어 프로필 또는 피싱된 신분증 스캔을 통해 문서 사진을 입수한 사기꾼은 전혀 존재하지 않고도 첫 번째 질문에 답할 수 있습니다.

본인 확인은 이러한 격차를 해소합니다. 문서 확인 및 얼굴 일치와 결합하여 규제된 KYC를 뒷받침하는 세 가지 핵심 확인 절차를 구축합니다: 올바른 문서, 올바른 얼굴, 그리고 이를 모두 가지고 있는 살아있는 사람.

규제 기관은 원격 신원 증명 프레임워크에서 생체 인식 본인 확인을 점점 더 많이 언급하고 있습니다. Didit의 전반적인 확인 절차는 Tesoro/SEPBLAC/CNMV 인증을 받았습니다. 이는 EU 회원국 정부로부터 대면 신분 확인보다 안전하다고 공식적으로 인증받은 유일한 공급업체이며, 본인 확인은 이러한 보증의 핵심 구성 요소입니다.

수동형 본인 확인: 작동 방식

수동형 본인 확인은 사용자로부터 아무것도 요구하지 않습니다. 사용자가 카메라를 향해 보면, 시스템은 프레임 또는 짧은 시퀀스를 캡처하고 어떠한 프롬프트 없이 이를 분석합니다.

분석은 얼굴 감지 여부를 확인하는 것을 훨씬 뛰어넘습니다. 모델은 실제 3차원 표면과 평면 재생산물을 구별하는 신호를 찾습니다: 종이나 화면과 피부의 미세 질감, 조명과 그림자의 깊이 단서, 곡선 얼굴과 평면 기판에서 빛이 반사되는 방식, 그리고 정지 이미지가 재현할 수 없는 자연스러운 미세 움직임(무의식적인 미세 깜박임, 호흡 움직임) 등입니다.

그 결과는 분류(실제 또는 공격)와 신뢰도 점수이며, 2초 이내에 반환됩니다. 수동형 본인 확인은 사용자 동작이 필요 없으므로, 마찰을 최소화하면서 모든 온보딩 흐름에 깔끔하게 통합됩니다.

탐지 대상: 인쇄된 사진, 얼굴을 재생하는 화면, 특정 실시간 챌린지 없이 캡처된 재생 비디오.

가장 적합한 경우: 소비자 온보딩, 연령 확인, 단계별 재인증 등 마찰이 전환에 영향을 미치는 모든 흐름.

능동형 본인 확인: 작동 방식

능동형 본인 확인은 실시간 챌린지 단계를 추가합니다. 시스템은 사용자에게 특정 각도로 고개를 돌리거나, 눈을 깜박이거나, 미소 짓거나, 화면의 움직이는 지점을 추적하는 등의 신체적 행동을 수행하도록 지시합니다. 반응은 기록되고 살아있는 실제 사람이 생성할 수 있는 것과 교차 확인됩니다.

챌린지는 세션마다 무작위로 생성됩니다. 인쇄된 사진은 고개를 돌릴 수 없습니다. 미리 녹화된 비디오는 촬영되지 않은 챌린지에 일치할 수 없습니다. 이는 능동형 본인 확인을 재생 공격 및 초기 세대 합성 비디오에 대해 더 강력하게 만듭니다.

탐지 대상: 수동형이 탐지하는 모든 것과 더불어 공격자가 세션을 위장하기 위해 미리 녹화된 비디오를 사용하는 특정 재생 공격.

가장 적합한 경우: AML(자금 세탁 방지) 요구 사항이 있는 금융 온보딩, 고가치 계정 복구, 규제 대상 암호화폐 온보딩과 같은 고위험 흐름.

사용 사례

소비자 핀테크 온보딩. 네오뱅크 및 결제 플랫폼은 KYC 핵심 흐름에서 수동형 본인 확인을 실행하여 계정 활성화 전에 모든 신규 사용자가 실제 사람임을 확인합니다. 0.33달러의 총 비용으로 대규모로 실행 가능합니다.

암호화폐 거래소 및 VASP 규정 준수. FATF 요구 사항에 직면한 거래소 및 가상자산 서비스 제공업체는 규제 심사를 견딜 수 있는 생체 인식 보증이 필요합니다. 능동형 본인 확인이 적절한 수준입니다.

연령 제한 디지털 서비스. 얼굴 연령 추정을 사용하는 게임, 스트리밍 및 규제 대상 소비자 플랫폼은 분석되는 얼굴이 카메라 앞에 있는 실제 사람의 얼굴이며, 들고 있는 사진이 아님을 확인하기 위해 본인 확인이 필요합니다.

계정 재인증. 사용자가 고가치 작업(대규모 이체, 자격 증명 변경)을 시작할 때, 본인 확인과 페어링된 생체 인식 인증(0.10달러)은 등록된 사용자가 장치 접근 권한을 가진 계정 탈취 공격자가 아닌 실제 존재하는 사람임을 재확인합니다.

Didit이 도움이 되는 방법

본인 확인은 별도의 독립적인 호출이 아니라 Didit 인증 세션 내에서 실행됩니다. 통합은 다음과 같이 작동합니다:

  1. 비즈니스 콘솔에서 워크플로우 빌더를 열고 ID 확인 및 얼굴 일치와 함께 수동형 본인 확인 또는 능동형 본인 확인을 워크플로우에 추가합니다.
  2. 백엔드에서 workflow_id, vendor_data, callback_url과 함께 세션을 생성합니다: POST /v3/session/.
  3. 사용자를 session.url로 리디렉션합니다. 호스팅된 Didit UI는 카메라 접근, 캡처 및 PAD 모델 실행을 처리합니다. 기존 흐름에 본인 확인을 추가하기 위해 클라이언트 측 SDK 변경은 필요하지 않습니다.
  4. 웹훅(session.status.updated)을 통해 결과를 수신하거나 GET /v3/session/{sessionId}/decision/을 폴링합니다. 응답의 liveness_checks[] 배열은 상태, 신뢰도 점수 및 해당되는 경우 감지된 공격 유형을 포함합니다.

워크플로우 빌더를 사용하면 본인 확인 결과에 따라 분기를 구성할 수 있습니다: DECLINED를 수동 검토로 라우팅하거나, 한 번의 재시도를 허용하거나, 하드 거부할 수 있습니다. 이 모든 것을 코드 배포 없이 가능합니다.

자주 묻는 질문

수동형 본인 확인과 능동형 본인 확인의 차이점은 무엇인가요?

수동형 본인 확인은 사용자 프롬프트 없이 단일 캡처를 분석합니다. 능동형 본인 확인은 살아있는 사람이 응답해야 하는 실시간 챌린지(고개 돌리기, 눈 깜박이기 또는 추적)를 제시합니다. 수동형은 마찰이 적고, 능동형은 재생 공격에 대해 더 높은 보증을 제공합니다.

iBeta 레벨 1 PAD는 무엇을 의미하나요?

iBeta는 NIST 공인 독립 연구소입니다. 레벨 1 PAD 테스트는 ISO/IEC 30107-3에 따라 인쇄된 사진, 화면 재생 및 미리 녹화된 비디오 공격을 다룹니다. Didit은 360번의 테스트 시도에서 공격 성공률 0% 및 IAPAR 0%를 달성했습니다. 레벨 2는 3D 마스크 및 보철물까지 적용 범위를 확장합니다. 이는 Didit이 현재 주장하지 않는 별도의 더 까다로운 테스트입니다.

본인 확인 비용은 얼마인가요?

수동형 본인 확인은 확인당 0.10달러이고, 능동형 본인 확인은 0.15달러입니다. 둘 다 매월 포함되는 500회 무료 확인에 포함됩니다. 최소 금액이나 좌석 요금은 없습니다.

본인 확인이 딥페이크 주입 공격을 막을 수 있나요?

PAD는 실제 카메라 앞에 아티팩트가 제시되는 공격을 다룹니다. 합성 비디오가 카메라를 우회하여 캡처 파이프라인에 직접 공급되는 주입 공격은 추가 신호 계층이 필요한 별개의 위협 클래스입니다. Didit이 두 가지 모두를 해결하는 방법에 대해서는 주입 공격 탐지 가이드를 참조하세요.

본인 확인이 문서 확인을 대체하나요?

아니요. 본인 확인은 살아있는 사람이 존재함을 확인하지만, 그 사람이 누구인지는 확인하지 않습니다. 문서 확인과 얼굴 일치는 신원을 확립하고, 본인 확인은 존재를 확인합니다. 이 세 가지가 함께 안전한 KYC를 구성합니다.

시작할 준비가 되셨나요?

신원 및 사기 방지 인프라.

KYC, KYB, 거래 모니터링, 지갑 심사를 위한 단일 API. 5분 만에 통합하세요.

무료로 시작하기문의하기
AI에게 이 페이지 요약 요청
안면 본인 확인 작동 방식: 능동형 vs 수동형 | Didit.