[tech story] 토스 '페이스페이'와 얼굴 인식 기술의 진화, 그리고 미래②

2025.09.09

토스(비바리퍼블리카)가 얼굴 인식 간편결제 서비스 '페이스페이'의 정식 출시를 발표하며 오프라인 결제 시장에 새로운 변화를 예고했다. 페이스페이는 사용자가 미리 얼굴과 결제 수단을 토스 앱에 등록하면, 매장에서 단말기를 바라보는 것만으로 1초 만에 결제가 완료되는 혁신적인 서비스다. 현금이나 카드를 꺼내거나 휴대폰 앱을 실행할 필요 없이 얼굴 인식만으로 자연스러운 결제 경험을 제공한다.

본 기사에서는 앞서 얼굴 인식 기술의 개발 배경과 발전 과정, 오프라인 결제 분야로의 확장 사례를 짚은 1편에 이은 2편으로, 딥페이크 등 새로운 위협에 대응하는 보안 기술의 진화, 그리고 토스 페이스페이의 전략과 미래 전망을 종합적으로 분석했다.

[tech story] 토스 '페이스페이'와 얼굴 인식 기술의 진화, 그리고 미래 ① - 테크42

딥페이크를 비롯해 얼굴인식 기술을 위협하는 기술의 부상과 이에 대응하는 보안 대책

^{얼굴 인식 기술의 발전과 함께 이를 무력화하거나 악용하려는 시도들도 동시에 진화해왔다. 특히 2010년대 후반부터 등장한 딥페이크(Deepfake) 기술과 다양한 형태의 스푸핑(Spoofing) 공격은 얼굴 인식 시스템의 보안성에 심각한 도전을 제기하고 있다. (이미지=빙 이미지 크리에이터로 생성)}

얼굴 인식 기술의 발전과 함께 이를 무력화하거나 악용하려는 시도들도 동시에 진화해왔다. 특히 2010년대 후반부터 등장한 딥페이크(Deepfake) 기술과 다양한 형태의 스푸핑(Spoofing) 공격은 얼굴 인식 시스템의 보안성에 심각한 도전을 제기하고 있다. 생성형 AI의 발전은 위조 공격의 난이도를 빠르게 낮췄고, 이에 대응하여 라이브니스(Liveness) 검증, PAD(Presentation Attack Detection) 등 고도화된 보안 기술들이 개발되고 있다.

-딥페이크와 위조 공격의 진화

딥페이크 기술의 등장은 2017년 레딧(Reddit) 사용자 'deepfakes'가 공개한 오픈소스 코드에서 시작되었다. 생성적 적대 신경망(GAN, Generative Adversarial Network)을 기반으로 한 이 기술은 기존 인물의 얼굴을 다른 인물의 얼굴로 자연스럽게 대체할 수 있게 해주었다. 초기에는 상당한 기술적 지식과 고성능 컴퓨터가 필요했지만, FaceSwap, DeepFaceLab, First Order Motion Model 등의 도구가 대중화되면서 일반 사용자도 비교적 쉽게 딥페이크 콘텐츠를 제작할 수 있게 되었다.

최근 위협은 크게 세 층위에서 진화하고 있다. 첫째, 프레젠테이션 공격(PA): 사진·영상·3D 마스크를 카메라 앞에 제시하는 고전적 스푸핑이다. 둘째, 디지털 인젝션/리플레이: 카메라 스트림을 가로채 합성 영상을 주입하거나 과거 캡처를 재전송하는 공격이다. 셋째, 템플릿·모델 레벨: 안면 템플릿 탈취, 역재식별, 모델 취약성을 겨냥한 적대적 예제(Adversarial Patch) 등이다.

-라이브니스 검증 기술의 발전

^{딥페이크의 위협에 대응하는 핵심 기술이 라이브니스 검증이다. 라이브니스 탐지는 카메라에 비치는 얼굴이 실제 살아있는 사람의 얼굴인지를 판별하는 기술로, 크게 두 가지 방식으로 나뉜다. (이미지=빙 이미지 크리에이터로 생성)}

이러한 위협에 대응하는 핵심 기술이 라이브니스 검증이다. 라이브니스 탐지는 카메라에 비치는 얼굴이 실제 살아있는 사람의 얼굴인지를 판별하는 기술로, 크게 두 가지 방식으로 나뉜다.

패시브 라이브니스(Passive Liveness)는 사용자의 별도 행동 없이 자연스러운 얼굴 영상에서 생체 신호를 탐지한다. 미세한 눈 깜빡임, 얼굴 근육의 자연스러운 움직임, 혈류에 의한 색상 변화 등을 분석하여 실제 사람인지 판단한다. 심박 유도 광용적맥파(rPPG) 기반 신호는 2D 합성물로는 재현이 어려워 중요한 방어 축이 된다. 구글의 Pixel 스마트폰과 마이크로소프트의 Windows Hello 등이 이 방식을 채택하고 있다.

액티브 라이브니스(Active Liveness)는 사용자에게 특정 행동을 요구하여 생체성을 확인한다. "고개를 좌우로 돌려주세요", "눈을 깜빡여 주세요" 등의 지시를 통해 실시간 반응을 확인하는 방식이다. 보안성은 높지만 사용자 편의성이 떨어진다는 단점이 있어, 최근에는 자연스러운 상호작용을 유도하는 방향으로 발전하고 있다.

-3D 센싱 기술과 멀티모달 접근

3D 센싱 기술의 도입은 얼굴 인식 보안을 한 단계 끌어올렸다. 애플의 Face ID가 사용하는 구조광(Structured Light) 방식은 적외선 패턴을 투사하여 얼굴의 3D 형상을 정밀하게 측정한다. ToF(Time of Flight) 센서를 활용한 방식도 있으며, 삼성 갤럭시 시리즈 등에서 채택하고 있다. 이러한 3D 센싱 기술은 2D 이미지 기반 공격을 원천적으로 차단할 수 있다는 장점이 있다.

멀티모달·멀티센서 접근도 중요한 방어 전략이다. RGB+IR, ToF/구조광 Depth, 스테레오 카메라 조합은 사진·영상 공격을 크게 어렵게 만든다. 하드웨어 비용과 설치 제약이 있지만, 결제같이 높은 신뢰가 필요한 환경에서는 점증적으로 표준이 되어가고 있다.

-엔드투엔드 보안 아키텍처

카메라→단말 OS→애플리케이션→클라우드 전 구간에서 안전한 파이프라인이 필요하다. 신뢰 실행 환경(TEE)·보안 엘리먼트(SE)를 통한 템플릿 암호화·보관, 안티-스크린 스크레이핑·드라이버 레벨 보호, 원본성(attestation) 검증을 포함한 카메라 인증이 중요하다. 많은 공격이 '렌즈 앞'이 아니라 '소프트웨어 스택'에서 일어난다는 점을 간과하면 안 된다.

위험기반 인증과 FDS의 결합도 중요하다. 거래 맥락(금액, 시간, 위치, 단말기, 이용패턴)을 실시간 분석해 위험이 높을 때는 이중인증을 요구하거나 결제 한도를 동적으로 조정하는 방식이 결제 도메인에서 특히 유효하다.

-국제 표준과 인증 체계

방어 기술의 골자는 PAD(발표 공격 탐지) 체계다. ISO/IEC 30107-3 기준을 토대로 iBeta 등 공인 시험기관에서 레벨드 테스트를 통과한 알고리즘·장비가 상용 기준이 되고 있다. 공신력 있는 벤더들은 NIST의 FRVT(정확도)뿐 아니라, NIST가 진행 중인 라이브니스/프리젠테이션 공격 탐지 평가, ISO 27001, PCI DSS, 그리고 독립 시험소의 PAD 인증 결과를 공개하는 추세다.

업계에서는 FaceTec, iProov 등 원격 신원확인 전문 기업이 PAD 성능을 앞세우고, NEC·IDEMIA·Innovatrics 등은 1:N 환경까지 포괄하는 토털 스택을 강화했다. 결제 맥락에서는 여기에 단말 보안, 결제 네트워크 규격 준수라는 '이중의 문턱'이 추가된다.

-개인정보보호와 윤리적 거버넌스

국내 PIPA(개인정보보호법)는 생체정보를 민감정보로 보고 엄격한 동의·목적 제한·보관기간 최소화·접근통제를 요구한다. 유럽 GDPR과 EU AI Act는 고위험군에 준하는 의무(위험관리, 데이터 거버넌스, 기록·투명성)를 부과한다. 투명한 사전 동의와 손쉬운 철회, 템플릿 삭제 권리, 부정결제에 대한 신속·선제 보상, 정기적인 바이어스·성능 공개와 제3자 점검이 시장 신뢰를 만든다.

딥페이크가 고도화될수록, 기술과 더불어 '사용자 선택권'과 '운영 투명성'이 경쟁력이 되는 이유다. 토스가 개인정보보호위원회의 사전적정성 검토를 받고 안심보상제를 운영하는 것은 이러한 신뢰성 확보 노력의 일환으로 평가할 수 있다.

토스의 향후 페이스페이 관련 전략 & 기술력 분석

^{토스는 서울에서 열리는 제47차 글로벌 프라이버시 총회(Global Privacy Assembly, 이하 ‘GPA’)에서 ‘토스 페이스페이’의 보안성과 개인정보보호 기술을 소개한다고 8일 밝혔다. (사진=토스)}

토스의 페이스페이는 단순한 결제 수단을 넘어 오프라인 상거래 생태계 전반을 혁신하려는 야심찬 전략을 담고 있다. 40만 가입자 돌파와 60% 재이용률이라는 초기 성과를 바탕으로, 2026년까지 100만 개 매장이라는 대담한 목표를 제시한 것은 단순한 기술 시연을 넘어 시장 지배력 확보를 위한 전략적 포석으로 해석된다.

-삼각편대 전략: 통합 생태계 구축

토스의 차별화된 접근 전략은 '페이스페이-앱인토스-토스플레이스'로 이어지는 삼각편대 구축이다. 페이스페이가 결제 인터페이스라면, 앱인토스(Apps-in-Toss)는 매장 검색부터 예약, 혜택 확인까지 포괄하는 플랫폼 역할을 한다. 토스플레이스는 하드웨어 보급을 담당하는 자회사로, 토스 프론트, 토스 프론트뷰, 토스 프론트캠 등 다양한 단말기 라인업을 통해 매장별 상황에 최적화된 솔루션을 제공한다.

이러한 수직 통합 전략은 기존 결제 서비스들과의 차별점이다. 기존 간편결제 서비스들이 주로 QR코드나 NFC 기반의 표준화된 인터페이스에 의존했다면, 토스는 자체 하드웨어부터 소프트웨어 플랫폼까지 전 영역을 통제함으로써 사용자 경험의 일관성과 차별화를 동시에 추구하고 있다. 특히 토스플레이스를 통한 단말기 직접 보급은 매장 사업자와의 관계를 더욱 긴밀하게 만들고, 경쟁사의 진입 장벽을 높이는 효과를 가져올 것으로 예상된다.

-기술력 분석: 1초 결제와 다층 보안

토스가 내세우는 기술적 역량을 분석해보면, 먼저 1초 결제 속도는 상당한 기술적 성취로 평가된다. 일반적인 얼굴 인식 시스템의 처리 시간이 2-3초인 점을 고려하면, 이는 알고리즘 최적화와 하드웨어 성능 향상의 결과로 보인다. 토스 최준호 TPO가 언급한 "결제가 이루어지는 단 1초 동안 여러 보안 기술이 동시에 작동한다"는 설명은 병렬 처리 아키텍처의 고도화를 시사한다.

라이브니스 검증 기술의 경우, 토스는 구체적인 기술 사양을 공개하지 않았지만, 업계 표준인 ISO/IEC 30107-3 PAD 레벨 2 이상의 성능을 확보했을 것으로 추정된다. 특히 마스크 착용 상황에서의 인식률과 다양한 조명 환경에서의 안정성이 실제 상용화의 핵심 변수가 될 것이다.

페이셜 레코그니션 모델의 경우, 토스는 "얼굴 변화에 강인하고 유사 얼굴을 정밀하게 구분한다"고 설명했다. 이는 연령 변화, 헤어스타일 변화, 화장 등 일상적인 외모 변화에 대한 강건성(Robustness)과 쌍둥이나 가족 간 유사성에 대한 판별력을 의미한다. NIST FRVT 기준으로 FAR(False Acceptance Rate) 0.01% 이하, FRR(False Rejection Rate) 1% 이하의 성능을 확보했을 것으로 예상된다.

FDS와의 연동은 단순히 얼굴을 인식하는 것을 넘어, 결제 맥락에서 발생할 수 있는 이상 징후를 탐지하여 추가적인 보안을 제공한다. 거래 맥락(금액, 시간, 위치, 단말기, 이용패턴)을 실시간 분석해 위험이 높을 때는 이중인증을 요구하거나 결제 한도를 동적으로 조정하는 방식이 결제 도메인에서 특히 유효하다.

-시장 확장 전략의 현실성과 과제

^{지난 2일 기자간담회에서 토스 오규인 부사장은 "페이스페이는 결제 방식을 바꾸는 데 그치지 않고 오프라인 여정 전체를 연결한다"며 페이스페이의 시장 안착과 확산 전략을 중점으로 발표했다. (사진=토스)}

2026년 100만 개 매장이라는 목표는 상당히 도전적이다. 현재 국내 간편결제 가맹점이 약 300만 개임을 고려하면, 전체 시장의 30% 이상을 얼굴 인식 결제로 전환하겠다는 의미다. 이를 위해서는 매장 사업자들의 적극적인 참여가 필수적인데, 기존 결제 시스템 대비 명확한 차별화 가치를 제시해야 한다.

편의점, 카페, 외식업 등 토스가 목표로 하는 업종들은 대부분 빠른 회전율과 간편한 결제를 중시하는 특성을 가지고 있다. 1초 결제 속도는 이러한 니즈에 부합하지만, 초기 도입 비용과 사용자 교육 부담이 확산의 걸림돌이 될 수 있다. 토스가 단말기 보급을 자회사를 통해 직접 담당한다고 발표한 것은 이러한 진입 장벽을 낮추려는 전략으로 해석된다.

-경쟁 환경과 리스크 요인

토스의 페이스페이는 기존 간편결제 사업자들에게 새로운 도전장을 내민 셈이다. 네이버페이, 카카오페이, 삼성페이 등 기존 강자들도 생체 인식 기술 도입을 검토하고 있을 것으로 예상되며, 특히 삼성페이의 경우 갤럭시 스마트폰의 얼굴 인식 기능과 연계한 서비스 개발이 가능하다.

개인정보보호 이슈는 지속적인 관리가 필요한 영역이다. 유럽의 GDPR과 최근 시행된 AI Act는 얼굴 인식 기술에 대해 엄격한 규제를 적용하고 있으며, 국내에서도 개인정보보호 규제가 강화되는 추세다. 토스는 개인정보보호위원회의 사전 검토를 받았다고 하지만, 서비스 확산 과정에서 새로운 규제 이슈가 발생할 가능성이 있다.

기술적 안정성도 중요한 변수다. 대규모 서비스 확산 과정에서 예상치 못한 에지 케이스들이 발생할 수 있으며, 특히 다양한 연령대와 인종, 성별에 대한 인식 편향 문제가 사회적 이슈로 부각될 가능성이 있다.

-장기적 전망과 성공 요인

토스 페이스페이의 성공은 기술적 완성도보다는 생태계 구축 능력에 달려 있다. 매장 사업자들에게는 명확한 비즈니스 가치를, 소비자들에게는 혁신적인 사용자 경험을 제공할 수 있느냐가 핵심이다. 비접촉 결제에 대한 니즈가 높아진 상황에서, 얼굴 인식 결제는 가장 자연스럽고 편리한 비접촉 인터페이스가 될 가능성이 크다.

성공을 위한 핵심 과제는 다음과 같다. 첫째, 성능·보안의 공신력 강화다. NIST FRVT 상위권 벤더와의 비교지표, PAD 공인 시험 성적 공개, 독립 침투 테스트 결과의 주기적 공시가 시장 신뢰를 키운다. 둘째, 하드웨어 생태계의 개방이다. 토스 단말 외 서드파티 POS, 키오스크, 리테일 카메라와의 SDK/API 연동을 넓혀 설치 제약을 줄이면 확산 속도가 붙는다.

셋째, 리스크 기반 결제 정책이다. 금액·상황별로 얼굴 단독 vs 보조 인증의 동적 적용을 설계해 사용자 편의와 위험 관리를 균형 있게 가져가야 한다. 넷째, 프라이버시 UX다. 동의·철회·삭제를 '2~3탭'으로 끝내는 인터페이스, 처리 목적·보관 기간·제3자 제공 현황의 투명한 대시보드가 차별점이 될 수 있다.

^{토스는 기존 '토스 프론트' 외에 '토스 프론트뷰'(얼굴 인식 전용)와 '토스 프론트캠'(키오스크 부착형)을 새롭게 공개했다. 이를 통해 매장 환경에 맞춘 옵션으로 동일한 경험을 제공한다는 것이 토스의 전략이다. (사진=토스)}

장기적으로는 얼굴 인식 기술이 결제를 넘어 개인화된 서비스 제공의 기반이 될 것으로 예상된다. 매장에서 고객을 인식하여 개인 맞춤형 상품 추천, 할인 혜택 제공, VIP 서비스 등을 자동으로 제공하는 것이 가능해질 것이다. 토스의 앱인토스 플랫폼이 이러한 확장된 서비스의 기반 역할을 할 것으로 보이며, 이는 단순한 결제 서비스를 넘어 오프라인 상거래 전반의 디지털 전환을 이끄는 플랫폼으로 진화할 가능성을 시사한다.

결국 토스 페이스페이의 성공 여부는 기술적 우수성과 함께 시장 참여자들의 협력을 이끌어내는 생태계 리더십에 달려 있다. 100만 개 매장이라는 야심찬 목표가 현실이 될 수 있을지, 그리고 이것이 국내 핀테크 산업의 새로운 전환점이 될 수 있을지 주목된다.

#3D 센싱 #구조광 방식 #딥페이크 #라이브니스 검증 기술 #토스 #페이스페이

김한수 기자

hanskim@tech42.co.kr

기자의 다른 기사보기