최근 음성인식 기술을 활용한 음성인식 보안시스템의 도입이 발빠르게 이루어지고 있는 가운데, 이를 활용한 HSBC社의 음성인식보안시스템의 보안헛점이 나타나 관련 사례를 상세히 조사해보기로 한다.

BBC Click의 리포터인 Dan Simmons씨는 음성인식 보안시스템의 안전성을 테스트하기 위해 해당 은행의 음성 ID 인증서비스에 가입하고 계정을 만들었다고 하는데, 그 이유는 HSBC社에서 해당 음성인식보안서비스가 개별 사용자의 목소리를 인지하기 때문에 안전하다고 주장하고 있기 때문이라고 한다. 하지만 해당 은행의 음성인식보안시스템을 활용함에 있어 자신의 이란성 쌍둥이의 목소리를 모방하여 전화를 통해 계정에 접속하게 되는 상황이 벌어지면서 안전성에 문제가 대두되게 되었다 볼 수 있겠다.

음성인식 보안시스템은 HSBC社에서 지난 2016년 도입한 뒤로 온전히 안전하가도 주장한 기술로 알려져있지만, 이번 실험을 통해 단순히 모방한 목소리로 8번의 시도를 진행한 결과 은행계정에 접근할 수 있었던 것으로 나타났는데, 보다 문제시 되고 있는 점은 음성인식의 로그인을 허용할 수 있는 시도 횟수에 제한이 없었다는 점이라고 한다.

위와 같은 실험결과에 대해 HSBC社는 자체 시스템의 보안성에는 문제가 없으며, 쌍둥이를 활용한 본인인증은 시스템에서 변수로 남아있어 오류가 발생했다는 주장을 내놓고 있는 상황이라고 한다. 또한 쌍둥이의 경우는 비슷한 성문을 지니고 있어 시스템의 오류가 발생한 것으로 추정되지만 기타 기존에 활용되어오던 다른 핀 방식, 암호인증방식, 기억나는 문구 입력방식과 같은 인증절차보다도 안전한 것으로 입증되었다는 주장을 내놓고 있는 상황이라고 한다.

하지만 음성인식보안시스템의 안전성에 대해 프랑스계 인공지능 스타트업인 Lyrebird社는 기술의 지속적인 발전으로 인해 음성인식보안기술이 매우 불완전해질 수 있음을 경고하였으며, 미국의 University of Alabama 연구진들 또한 인증방식 또는 자동화를 위해 사람의 음성에 전적으로 의지하는 시스템은 음성을 위.변조한 공격에 매우 취약해질 수 있음을 경고한 것으로 나타났다.

이는 음성변조기술과 같은 목소리 합성을 지원하는 기술들이 상대적으로 발빠르게 진화하고 있기 때문에 사이버공격자가 피해자의 음성과 유사한 음성모델을 제한된 유사 샘플로부터 구축하게 될 수 있다면 음성인증을 통한 보안관련 기술에는 많은 헛점이 발생될 수 있음을 유의해야 할 것이며, 이를 보완할 수 있는 대체기술이 접목되어야 보다 안전한 서비스 이용이 가능해질 수 있을 것으로 예상되고 있다 하겠다.