소니의 ‘사진 위조 방지 기술’은 해킹에서 자유로울까
[IT동아 차주경 기자] 소니는 8월 4일(현지시각) 유럽에서 ‘사진 위조 방지 기술’을 공개했다. 디지털 카메라로 사진을 찍고 저장할 때 디지털 서명을 함께 저장하는 원리다. 이 디지털 서명은 사진을 위변조하려 하면 사라진다. 소니는 이 기술이 사진의 무단 편집과 위변조 등 위법 행위를 막을 것으로 기대한다. 하지만, 소니의 기술의 원리는 앞서 다른 디지털 카메라 제조사들이 공개했다가 해킹 후 무용지물이 된 사진 위조 방지 기술과 크게 다르지 않다. 이에 해킹에서 자유롭지 않다는 지적이 나온다.
소니의 사진 위조 방지 기술의 원리는 디지털 카메라의 연산장치에 표준 암호화 기술을 적용, 사진에 고유한 디지털 서명을 넣는 것이다. 디지털 서명은 사진을 위변조하거나 합성하려 하면 사라진다. 사용자나 기업은 디지털 서명의 유무로 위변조 가능성을 가늠한다.
소니는 이 기술을 먼저 35mm 미러리스 카메라 a7 IV에 적용하고, 다른 미러리스 카메라에도 적용하는 방안을 고려 중이라고 밝혔다. 이어 사진 위조 방지 기술이 여권이나 신분증 확인, 언론사나 의료, 법률 부문에서의 사진 위변조 문제를 해결할 것이라고 밝혔다.
사진 위변조 방지 기술은 오래 전부터 업계의 화두였다. 사진 위변조는 저작권 침해는 물론 범죄에도 악용된다. 디지털 사진은 필름 사진보다 위변조하기 쉽다. 연예인의 얼굴을 무단 도용해 만든 딥페이크 음란물, 여론을 선동할 목적으로 정치인의 얼굴이나 배경, 소품을 위변조해 만든 사진 등 악용 사례는 갈 수록 고도화된다. 이에 주요 디지털 카메라 제조사는 위변조 피해를 막으려 각종 사진 위변조 방지 기술을 선보였다.
지금은 디지털 카메라 시장에서 철수했지만, 엡손은 1999년에 사진 인증 시스템(IAS, Image Authentication System)을 공개한 경력이 있다. 디지털 카메라로 찍은 사진에 디지털 지문을 찍고, IAS로 디지털 지문을 감지해 위변조 여부를 판별하는 원리다. 당시 엡손은 이 기술의 완성도가 높다며, IAS가 감지하지 못할 정도로 정교한 위변조 사진을 만드는 데 330년이 걸릴 것이라고 밝혔다.
캐논도 2003년 사진 위변조 방지 도구로 데이터 검증 키트 DVK-E1를 공개했다. 이 기능을 가진 캐논 디지털 카메라는 사진을 찍을 때 고유 코드를 만들어 사진에 저장한다. 이후 DVK-E1로 이 코드가 유효한지, 위변조되지는 않았는지 검증한다. 니콘도 캐논과 비슷한 시기에 암호화 해시 함수를 활용한 이미지 인증 기술을 개발, 플래그십 DSLR 카메라에 적용했다.
문제는 위 기술들이 모두 해킹돼 사진 위변조 방지 기술로서의 가치를 잃은 점이다. 당시 한 해킹 그룹은 디지털 카메라의 메인 보드를 해킹해 사진 위변조 방지 기술에 쓰는 암호화 구조 혹은 이미지 서명 키를 추출하면, 이 기술이 무력화된다고 주장했다. 즉, 사진이 아니라 디지털 카메라 자체를 위변조하는 것이다. 디지털 카메라에는 별다른 보안 도구가 없으므로 이런 방식의 해킹에 취약하다.
이 해킹 그룹은 자신들의 주장을 뒷받침하는 해킹 시연도 마쳤다. 디지털 카메라 제조사들은 해킹 그룹의 주장과 시연에 응답도, 대응도 하지 않은 것으로 알려졌다.
소니가 공개한 사진 위조 방지 기술의 원리는 엡손과 캐논, 니콘이 공개한 것과 유사하다. 더 좋아진 점은 있다. 기존 기술은 사진에 저장된 디지털 서명을 ‘사용자의 PC’에서 검증했지만, 소니의 기술은 사용자의 ‘인증서 서버’에서 검증한다. 하지만, 그렇더라도 이전처럼 디지털 카메라를 해킹해 추출한 디지털 서명을 구분할 지는 미지수다.
소니는 이 기술을 유럽의 협업 기업에게만 제공한다고 밝혔다. 소니 유럽 법인에게 기존 사진 위조 방지 기술과의 차이와 디지털 서명의 해킹 방지 대책을 물었으나, 답변하지 않았다.
글 / IT동아 차주경(racingcar@itdonga.com)