업계기사
CBP의 착용형 카메라 규정, 소비자용 AI 안경과 충돌
규정이 개정되고 조달·프라이버시 심사를 통과하기 전까지 메타 안경은 사용이 금지된다
작성자: Anthony Kimery
보도일자: 2025년 8월 8일
출처: Biometricupdate.com
6월 로스앤젤레스에서 진행된 이민 단속 작전 중, 세관국경보호국(CBP) 소속 한 요원이 레이밴 메타 스마트 글래스를 착용한 모습이 촬영되면서, 소비자용 AI 안경이 연방 치안 활동과 국토안보부(DHS)의 생체인식 신원확인 시스템에 점점 스며들고 있는 것 아니냐는 의문이 제기됐다.
해당 요원의 안경 착용은 CBP 규정을 위반한 것으로 보인다. 이 규정은, 합리적인 의심이 있어 해당 상황이 단속으로 이어질 가능성이 높다는 판단이 없는 한, 승인된 장비든 개인 장비든 제1차 수정헌법이 보호하는 활동을 하고 있는 사람을 촬영하는 목적의 사용을 금지하고 있다. 촬영한 사람은 영상 속에서 단속 대상이 아닌 것으로 보인다.
CBP와 DHS 관계자 모두 언론의 논평 요청에 응하지 않았다.
국토안보부(DHS) 관계자들은 익명을 전제로 Biometric Update에, 레이밴 메타 스마트 글래스 사용에 대한 공식 정책은 없으며, 현행 규정상 근무 중에는 개인용 녹화 장비 사용이 허용되지 않는다고 밝혔다.
한 관계자는 “이건 그들에게 있어서 또 하나의 두통거리일 뿐”이라며, “내 생각엔 그 사람이 한 행동 때문이 아니라, 걸린 것 때문에 크게 혼났을 것”이라고 덧붙였다. 이어 “좋게 보일 일이 아니다”라고 말했다.
이번 사건은 트럼프 행정부 시절부터 CBP가 얼굴 인식, 생체인식 및 기타 데이터베이스 접근, AI 기반 탐지 시스템, 심지어 벽 너머까지 감지 가능한 소형 드론이나 센서와 같은 기술까지 포함해 감시 기술 도입을 확대해온 흐름 속에 있는 일로 평가된다.
이번 사안에서 CBP의 운영 지침은 2021년 8월부터 시행되어, 올해 5월에 업데이트된 지침 4320-030B이다. 이 지침은 ‘사건 기반 영상 녹화 시스템’(Incident-Driven Video Recording Systems, IDVRS)을 차량 장착형, 비통합 선박 시스템, 그리고 착용형 장비 등 CBP 소유 카메라로 정의하고 있다.
이 지침은 개인 소유 장비 사용에 대해 명확한 경계선을 긋고 있다. 특히 “휴대전화는 IDVRS 정의에 포함되지 않으며, 단속 행위를 기록하는 기본 수단으로 사용해서는 안 된다”고 명시하고 있다.
일반 규정은 더 엄격해, 근무 중인 인원은 “CBP가 발급하고 승인한 IDVRS만 사용해야 하며”, “법 집행 현장을 기록하기 위해 IDVRS 대신 개인 소유 장치를 사용할 수 없다”고 규정하고 있다.
영상 촬영 개시 시점도 구체적으로 규정돼 있다. 요원과 직원은 “사건 시작 지점 또는 안전이 확보되는 즉시” 단속 현장을 기록해야 하며, 이후 “자신의 참여가 종료되면 IDVRS를 비활성화”해야 한다. 카메라가 작동되지 않을 경우 감독관은 사유서를 요구할 수 있으며, 안전에 지장이 없는 한 현장에 있는 사람들에게 녹화 중임을 알리도록 권장하고 있다.
금지 사항 역시 명확하다. CBP 카메라는 단속과 무관하게 동료를 촬영하거나, 훈련 외 목적으로 직원 평가를 기록하거나, 비공개 대화를 녹음·녹화하거나, 탈의실·화장실 등 사생활이 보장되는 장소에서 사용하는 것이 금지된다. 또한 제1차 수정헌법이 보호하는 활동에 참여 중인 사람을 촬영하는 목적에도 사용할 수 없다.
데이터 보관과 저장도 엄격히 통제된다. 녹화된 데이터는 반드시 지정된 CBP 승인 시스템에 업로드해야 하며, “개인적 용도나 개인 소유 장치·웹사이트에 다운로드, 저장, 게시해서는 안 된다.”
비증거용, 증거용, 또는 잠재적 증거용으로 분류된 파일은 각각 다른 보관 기준을 가진다. 현재 공개된 지침에 따르면, 비증거용 데이터는 미국 국립기록관리청(NARA) 지침에 따라 최대 90일간 보관하도록 되어 있다.
잠재적 증거 자료의 경우 CBP의 운영 방침은 3년간 보관이지만, 이 일정은 아직 NARA의 심사 중이며 승인 전까지는 더 오래 보관될 수 있다. 사건 기록에 연계된 증거용 데이터는 해당 사건 기록의 보관 일정에 따라 보존되며, 이는 수십 년까지 연장될 수 있다.
이와 보완적으로 작성된 개인정보 영향평가(PIA)는 기술 인프라를 설명하고 있다. 2021년부터 CBP는 수천 대의 국경순찰대 착용형 카메라를 역할 기반 접근 제어와 감사 로그를 갖춘 클라우드 기반 디지털 증거 플랫폼에 연결했다.
내부 프로그램 기획 단계에서는 평가 기간 동안 비증거용 데이터의 보관 목표를 기존 180일에서 더 짧은 운영 기간으로 전환하는 방안이 언급됐지만, 공개된 지침에는 여전히 비증거용 데이터 최대 90일, 잠재적 증거 자료는 NARA 심사 중인 3년 보관(제안안), 그리고 증거 자료는 해당 사건 기록의 보관 일정에 따라 수십 년, 경우에 따라 최대 75년까지 보존할 수 있도록 규정돼 있다.
이러한 제안은 소비자용 AI 안경에도 중요한 의미를 가진다. 메타의 레이벤 안경은 카메라, 마이크, 라이브 스트리밍 기능, 그리고 ‘비전 기능이 있는 메타 AI’를 갖추고 있지만, 메타 측은 해당 제품이 기본적으로 얼굴 인식 기능을 탑재해 출고되지 않는다고 밝혔다.
그럼에도 불구하고 여러 매체 보도에 따르면, 이 안경의 영상을 휴대전화나 노트북으로 전송해 제3자 얼굴 매칭 시스템을 거의 실시간으로 실행하는 것은 매우 간단한 일이며, 이러한 기능은 이미 시중에 존재한다. 그러나 이는 CBP에서 승인된 기능은 아니다.
메타 안경, DHS 생체인식 시스템과 실시간 연동 가능할까?
실질적으로 이는 메타 안경이 CBP의 여행자 인증 서비스(Traveler Verification Service, TVS)의 영상 수집 프런트엔드 역할을 하게 됨을 의미한다. TVS는 공항, 항만, 일부 육상 국경에서 ‘간소화 입국(Simplified Arrival)’을 지원하는 클라우드 기반 얼굴 비교 서비스다.
간소화 입국은 얼굴 생체인식을 활용해, 미국 입국 시 이미 의무적으로 수행되는 수작업 서류 검사를 자동화한 강화된 국제 입국 절차다.
TVS는 승인된 고정식 카메라 또는 제휴사 카메라에서 이미지를 받아, 정부가 보유한 자료(여권, 비자, 자동화 생체인식 식별 시스템)를 기반으로 사전에 구성된 이미지 갤러리와 비교한 뒤, 일시적으로 생성된 매칭 이미지를 TVS 클라우드에서 정해진 기간 내 삭제한다.
CBP의 TVS 문서 어디에도 소비자용 안경형 기기를 요원이 착용해 영상 수집 장치로 사용하는 방안은 고려되지 않았으며, 설령 광학적·보안적 문제를 해결하더라도 IDVRS 규정상 개인 장비를 증거 시스템으로 사용하는 것은 차단된다.
안경을 TVS 영상 수집 장치로 도입하려면, CBP는 규정에 부합하는 하드웨어를 조달·지급하고, 소프트웨어 인증을 거치며, PIA(개인정보 영향평가)와 기록 시스템 공지(System of Records Notices)를 업데이트하고, 지침 4320-030B와 소속 부서 표준운영절차(SOP)를 개정해야 한다. 이러한 조치가 이루어진 징후는 없다.
비슷한 거버넌스 체계는 DHS 전 부서 차원의 바디카메라 정책에서도 나타난다. 해당 정책은 모든 부서가 엄격하고 기관이 소유·관리하는 시스템 내에서 운영하도록 하고, 부서별 세부 정책을 제정하며, 교육·접근 제어·기록 보존을 연방 기록법에 맞춰 정렬하도록 요구한다. 이 틀은 개인 또는 소비자 기기를 통한 임시·비공식적 촬영에 강하게 반대하는 방향으로 작동한다.
그렇다면 로스앤젤레스에서 레이밴 메타 안경을 착용한 CBP 요원은 어떻게 설명할 수 있을까? 가장 온건한 가능성은, 카메라가 꺼진 상태로 단순히 선글라스를 안경처럼 착용했을 뿐이라는 것이다. 그러나 이는 전례 없는 규모로 국내에 배치되면서도 개인정보 보호에 대한 존중을 보여줘야 하는 기관의 이미지에 여전히 좋지 않은 인상을 줄 수 있다.
덜 온건한 시나리오는 규정을 위반한 녹화 행위다. 착용자가 단순히 휴대전화 기반 어시스턴트 없이 핸즈프리 통화나 안내를 받기 위해 블루투스 헤드셋 기능만 사용했을 가능성도 있다.
하지만 이러한 사용 방식들조차 “법 집행 현장을 기록하기 위해 IDVRS 대신 개인 소유 장치를 사용하는” 행위를 금지하는 IDVRS 규정의 취지, 그리고 영상을 개인용 앱이나 웹사이트에 게시하는 것을 금지하는 저장 규정과 일부는 직접적으로, 일부는 간접적으로 충돌한다.
만약 실제로 녹화가 이루어졌다면, 이는 보관·공개·증거물 관리 절차에서 혼란을 초래했을 것이다. IDVRS 영상은 반드시 태깅, 감사, NARA 기준에 맞춘 삭제 절차를 거쳐 CBP 승인 증거 플랫폼으로 유입도어야 하며, 소비자용 클라우드로 저장되어서는 안 되기 때문이다.
그렇다면 메타 안경 자체가 생체인식 식별을 수행할 수 있을까? 기본적으로 메타의 레이밴 메타 스마트 글래스에는 네이티브 얼굴 인식 기능이 포함되어 있지 않으며, 메타 측도 이를 반복적으로 강조하고 있다. 그러나 오용 가능성을 만드는 것은 실시간 스트리밍 기능과 휴대전화 연결을 통해 제3자가 영상 스트림에 접근해 외부 AI 도구로 처리할 수 있게 하는 기능이다.
이는 단순한 가정이 아니다. 2024년 말, 하버드대 학생 안푸 응우옌(AnhPhu Nguyen)과 케인 아더피오(Caine Ardayfio)는 I-XRAY가 안경에서 인스타그램을 통해 실시간 스트리밍을 컴퓨터 프로그램으로 전송하는 과정을 공개 시연했다. 이 시스템은 PimEyes를 사용해 얼굴 인식을 수행한 뒤, 공개 출처에서 개인 정보(이름, 주소, 전화번호)를 가져와 이를 몇 초 만에 휴대전화 앱을 통해 반환했다.
응우옌과 아더피오는 I-XRAY를 실제 배포하기 위해 만든 것이 아니라, 기존 소비자 기술만으로도 실시간 신상 털기(doxxing)가 가능하다는 점을 알리기 위해 제작했다고 밝혔다.
공개된 시연과 기술적 논의에 따르면, 메타 스마트 글래스를 이용한 실시간 얼굴 매칭 파이프라인은 시중에 판매되는 도구만으로 구축할 수 있다. 이 과정은 안경의 라이브 스트리밍 피드를 통해 영상을 캡처하고, 이를 연결된 휴대전화나 노트북에서 접근하는 것부터 시작된다.
그 다음, 개별 프레임을 추출해 RetinaFace나 YOLO 같은 얼굴 탐지 소프트웨어를 통해 분석하며, 이 소프트웨어는 기기 자체나 연결된 컴퓨터에서 실행될 수 있다.
얼굴이 탐지되면 ArcFace나 InsightFace와 같은 프레임워크가 임베딩(embedding)을 생성하고, 이를 로컬에 저장된 사전 구축된 갤러리와 대조하거나 PimEyes 같은 클라우드 기반 검색 서비스로 전송해 매칭을 수행할 수 있다.
매칭이 이루어지면, 전화번호·자택 주소·소셜미디어 프로필 등 공개 출처의 개인정보를 결합해 신원을 보강한 뒤, 그 결과를 착용자에게 반환할 수 있다.
이 피드백은 화면의 앱에 표시되거나, 안경을 통해 음성으로 전달될 수 있으며, 전체 과정이 5초 만에 완료되기도 한다. 이러한 기술은 이미 존재하며, 안경은 단지 눈에 잘 띄지 않는 영상 수집 장치 역할을 할 뿐이다.
메타는 오용을 완화하기 위해 비활성화할 수 없는 내장 LED 녹화 표시등을 탑재했지만, 밝은 조명이나 혼잡한 환경에서는 이를 쉽게 놓칠 수 있다. 더 나아가, 온라인에서는 LED를 가리려는 ‘스텔스’ 스티커 액세서리가 등장했으나, 테스트 결과 이들은 종종 작동에 실패하거나 비활성화 경고를 유발하는 것으로 나타났다.
특정 증거 처리 절차와 자체 개인정보 보호 규정을 가진 생체인식 프로그램에 묶여 있는 연방 법집행 부서 입장에서, 이러한 플러그 앤 플레이 방식은 법적·정책적으로 전혀 가능성이 없는 선택지다.
현재까지 DHS나 CBP가 메타 스마트 글래스를 구매했거나 메타 플랫폼을 어떤 생체인식 프로그램에 통합했다는 증거는 없다. DHS 기록에도 스마트 글래스 관련 예산 항목은 없다. 만약 이러한 전환이 진행 중이라면, 조달 공고, 운영 승인 절차, 그리고 개인정보 관련 문서가 있어야 한다.
CBP는 이미 폐쇄된 증거 관리 생태계 안에서 운영되는 성숙한 바디카메라 프로그램과, 국경의 고정·통제된 촬영 지점을 위해 설계된 별도의 대규모 얼굴 비교 서비스를 보유하고 있다. 이 구조는 선글라스 한 쌍, 특히 개인 소유 제품으로는 쉽게 연결될 수 없다.
정책 문구는 모호함이 없고, 보관 규정은 구체적으로 명시되어 있으며, 생체인식 기술 스택은 목적에 맞게 설계돼 있다. CBP가 자체 규정을 개정하고 조달·프라이버시 심사를 통과하기 전까지, 메타 안경은 철저히 그 울타리 밖에 머물 수밖에 없다.
