Can a Teenager Fool an AI? Evaluating Low-Cost Cosmetic Attacks on Age Estimation Systems

이 논문은 수염, 화장, 흰머리, 주름 등 가정에서 쉽게 구할 수 있는 화장품적 변형이 AI 나이 추정 시스템의 성인 판정을 유도할 수 있음을 보여주며, 이를 통해 배포된 연령 검증 파이프라인의 취약점을 규명하고 대항적 견고성 평가의 필요성을 강조합니다.

핵심

🕵️‍♂️ 1. 이야기의 배경: 왜 이 실험을 했나요?

요즘 인터넷에서는 술, 도박, 성인물 같은 '18 세 미만 금지' 콘텐츠를 막기 위해 AI 가 selfies(셀프카메라) 를 찍어 나이를 재는 시스템을 많이 쓰죠. 영국, 미국, 유럽 등 전 세계가 이 기술을 도입하고 있습니다.

하지만 연구자들은 의문을 품었습니다.

"만약 10 대 청소년이 거울 앞에서 가짜 수염을 붙이거나, 회색 가발을 쓰고, 주름을 그린다면 AI 도 속아넘어갈까?"

이건 복잡한 해킹 기술이 필요하지 않습니다. 그냥 편의점에서 3 만 원짜리 화장품과 소품만 있으면 되는 **'저비용 공격'**입니다.

🎨 2. 실험 방법: "실제 사람을 해치지 않는 마법"

이 연구는 윤리적으로 실제 청소년들에게 가짜 수염을 붙이고 사진을 찍는 건 불가능했습니다. 대신, **최신 AI 이미지 편집기 (Gemini 2.5 Flash Image)**를 사용했습니다.

• 마법 주문: 연구자들은 AI 에게 "이 사진에 진짜 같은 수염을 붙여줘, "회색 머리로 바꿔줘", "화장을 시크하게 해줘", "이마에 주름을 그려줘"라고 명령했습니다.
• 결과: AI 가 순식간에 10 대의 얼굴을 30~40 대처럼 변신시켰습니다. 마치 디지털 코스프레를 시킨 셈이죠.

📊 3. 놀라운 결과: "수염 하나만으로도 70% 성공!"

연구진은 8 가지 다른 AI 모델 (전문 나이 예측 AI 와 최신 대화형 AI) 을 테스트했습니다. 결과는 충격적이었습니다.

🧔 공격 1: 가짜 수염 (The Beard)

• 효과: 가장 강력했습니다.
• 비유: 마치 가짜 수염 하나만 붙여도 AI 가 "아, 이 사람은 30 대 이상이야"라고 착각하는 것입니다.
• 결과: 모든 AI 모델이 **28%~69%**의 확률로 10 대를 성인이라고 잘못 판별했습니다. 어떤 모델은 10 대 3 명 중 2 명을 성인이라고 속였습니다.

🎭 공격 2: 회색 머리와 주름

• 효과: 나이를 먹은 듯한 느낌을 줍니다.
• 결과: 수염만큼 강력하지는 않지만, 여전히 나이를 5~10 년 이상 늙어 보이게 만들었습니다.

💄 공격 3: 화장 (Makeup)

• 효과: 재미있는 현상이 나타났습니다.
• 비유: 화장은 전체적인 나이를 크게 바꾸진 않지만, "17 세 11 개월"인 사람을 "18 세 1 개월"로 살짝 밀어 올리는 역할을 합니다.
• 결과: 평균 나이는 거의 변하지 않았지만, 경계선 (18 세) 근처에 있던 청소년들을 성공적으로 성인 문턱으로 밀어 넣었습니다.

🔥 공격 4: 올인원 (수염 + 회색머리 + 화장 + 주름)

• 효과: 완벽한 변신.
• 결과: 이 네 가지를 다 합치면, AI 가 예측한 나이가 평균 7.7 년이나 늙었습니다.
• 핵심: AI 가 원래 '10 대'로 분류했던 사진 중 **최대 83%**가 '성인'으로 바뀌어 버렸습니다. 즉, 100 명 중 83 명이 AI 의 감시망을 뚫고 나간 셈입니다.

🤖 4. AI 의 종류에 따른 차이

• 전문 나이 예측 AI (CV 모델): 수염 공격에 매우 취약했습니다. (성공률 63~83%)
• 대화형 AI (VLM, 예: Gemini, GPT): 전문 모델보다는 조금 더 견고했지만, 여전히 **59~71%**나 속았습니다.
• 결론: 어떤 AI 를 쓰든, 화장품 한 통으로 뚫릴 수 있다는 뜻입니다.

⚠️ 5. 이 연구가 우리에게 주는 경고

이 논문은 다음과 같은 중요한 메시지를 전달합니다.

1. 현재의 안전장치는 허약합니다: "AI 가 나이를 정확히 재니 안심하자"는 생각은 위험할 수 있습니다.
2. 저비용 공격이 위험합니다: 10 대가 복잡한 해킹을 할 필요 없이, 화장품과 가발만 있으면 됩니다.
3. 새로운 기준이 필요합니다: 앞으로 나이를 확인하는 시스템을 도입할 때는, **"화장품을 했을 때에도 견딜 수 있는가?"**를 반드시 테스트해야 합니다.

💡 요약: 한 줄로 정리하면?

"AI 가 나이를 재는 문지기는, 10 대가 가짜 수염과 회색 가발만 쓰면 쉽게 속아넘어가는 '지나치게 순진한 문지기'일 뿐입니다."

이 연구는 기술이 발전했다고 해서 안전해지지는 않으며, 오히려 **새로운 형태의 사기 (Adversarial Attack)**에 대비해야 함을 강력하게 경고합니다.

기술 요약

1. 문제 제기 (Problem Statement)

온라인 아동 보호를 위해 영국 온라인 안전법 (UK Online Safety Act), EU 디지털 서비스법 (EU Digital Services Act) 등 전 세계적으로 연령 제한 콘텐츠에 대한 접근을 통제하기 위해 얼굴 기반 연령 추정 (Age Estimation) 시스템이 광범위하게 배포되고 있습니다. 그러나 이러한 시스템의 **화장 (Cosmetic) 및 물리적 변형에 대한 견고성 (Robustness)**은 체계적으로 평가된 바 없습니다.

• 위협 시나리오: 기술적 지식이 없는 일반 청소년이 약국에서 구매할 수 있는 저비용 화장품 (가수염, 회색 가발/염색, 메이크업, 주름 크림 등) 을 사용하여 AI 에게 성인으로 인식되도록 속일 수 있습니다.
• 연구 공백: 기존 적대적 공격 (Adversarial Attacks) 연구는 얼굴 인식 (Identity Bypass) 을 목표로 하거나, 모델의 그래디언트 접근이 필요한 디지털 교란에 집중되어 있었습니다. 연령 추정을 대상으로 한 물리적/화장 기반의 의도적 우회 공격에 대한 연구는 부재했습니다.

2. 방법론 (Methodology)

가. 위협 모델 (Threat Model)

• 공격자: 기술적 지식이 없고, 모델 접근 권한이 없는 18 세 미만 청소년.
• 자원: 약국에서 구매 가능한 저비용 화장품 (가수염, 회색 머리카락, 메이크업, 주름).
• 목표: 카메라 앞에서 10 분 이내로 적용 가능한 물리적 변형을 통해 연령 추정 시스템이 미성년자를 성인으로 잘못 분류하게 만드는 것.

나. 시뮬레이션 프로토콜

실제 미성년자에게 화장품을 바르고 촬영하는 윤리적 문제를 피하기 위해, **VLM(Vision-Language Model) 이미지 편집기 (Gemini 2.5 Flash Image)**를 사용하여 대규모로 디지털 시뮬레이션을 수행했습니다.

• 데이터셋: UTKFace, IMDB-WIKI 등 8 개의 공개 연구 데이터셋에서 10~21 세의 얼굴 이미지 329 장을 추출.
• 공격 유형: 4 가지 단일 공격 (가수염, 회색 머리, 메이크업, 주름) 및 이들의 모든 비어 있지 않은 부분집합 (총 15 가지 조합).
• 적용 방식: 텍스트 프롬프트를 통해 VLM 에게 특정 화장품을 얼굴에 적용하도록 지시 (예: "리얼한 수염 추가", "회색 머리카락으로 변색" 등).

다. 평가 모델

이전 벤치마크에서 선정된 8 개의 모델을 평가 대상으로 선정:

• 전용 CV 아키텍처 (5 개): MiVOLO, Custom-Best, Herosan, MiViaLab, DEX.
• 비전 - 언어 모델 (VLM, 3 개): Gemini 3 Flash, Gemini 2.5 Flash, GPT-5-Nano.

라. 평가 지표

• 평균 연령 이동 (Mean Age Shift, $\Delta\bar{y}$): 공격 전후의 예측 연령 평균 차이.
• 공격 전환율 (Attack Conversion Rate, ACR): 핵심 지표. 공격 전 '미성년자'로 분류되었던 이미지 중, 공격 후 '성인'으로 전환된 비율. 이는 테스트 세트의 인구통계학적 분포에 의존하지 않는 인구 무관 (Population-agnostic) 지표입니다.

3. 주요 기여 (Key Contributions)

1. 최초의 체계적 물리적 화장 공격 연구: 연령 추정을 대상으로 한 물리적 화장 변형에 대한 의도적 우회 공격을 최초로 체계적으로 연구했습니다.
2. 크로스 - 패러다임 견고성 벤치마크: 전용 컴퓨터 비전 (CV) 모델과 제로샷 (Zero-shot) VLM 모델을 동일한 공격 세트를 통해 직접 비교하여, 서로 다른 모델 패러다임의 취약성을 규명했습니다.
3. 새로운 평가 지표 (ACR) 도입: 기존 단순 우회율 대신, 모델이 미성년자로 판단한 경우 중 얼마나 많은 비율이 공격으로 인해 성인 판정을 받는지 측정하는 ACR 을 도입하여 연구 간 비교 가능성을 높였습니다.

4. 주요 결과 (Key Results)

가. 단일 공격 효과

• 가수염 (Beard): 가장 강력한 단일 공격으로, 모든 모델에서 28~69% 의 ACR을 기록했습니다. 전용 CV 모델은 평균 +4.3 년, VLM 은 +2.5 년의 연령 상향 조정을 보였으나, CV 모델이 더 높은 전환율을 보였습니다.
• 회색 머리 (Grey Hair): VLM 모델에 더 큰 영향을 미쳤습니다 (VLM: +3.05.2 년, CV: +0.31.4 년). VLM 은 머리카락 색상을 맥락적 연령 단서로 더 많이 활용하는 것으로 보입니다.
• 메이크업 (Makeup): 평균 연령 이동은 거의 0 이었으나, 29~49% 의 ACR을 기록했습니다. 이는 전체적인 연령을 높이는 것이 아니라, 18 세 결정 경계 (Decision Boundary) 근처의 예측값을 상향 조정하여 우회시키는 메커니즘임을 시사합니다.

나. 결합 공격 효과 (All Four Attacks)

• 최대 우회율: 4 가지 공격 (가수염 + 회색 머리 + 메이크업 + 주름) 을 모두 적용했을 때, 평균 연령이 +7.7 년 상승했습니다.
• ACR: 모델에 따라 **59.4% (GPT-5-Nano) 에서 82.9% (DEX)**까지의 ACR 을 기록했습니다. 평균적으로 **68.9%**의 미성년자 판정 사례가 성인 판정으로 전환되었습니다.
• 모델 간 비교: VLM 모델이 전용 CV 모델보다 약간 낮은 ACR(5971% vs 6383%) 을 보였으나, 통계적 유의성은 검증되지 않았으며 범위 중첩이 있었습니다.

다. 연령별 취약성

• 15~17 세: 가장 취약한 그룹입니다. 기저 예측 연령이 18 세에 이미 근접해 있어 작은 화장 변화로도 쉽게 우회됩니다.
• 10~12 세: 기저 예측 연령이 18 세와 거리가 멀어 단일 공격으로는 우회가 어렵지만, 4 가지 공격을 결합하면 13~14 세까지도 높은 우회율을 보입니다.

5. 의의 및 시사점 (Significance)

1. 배포된 시스템의 치명적 취약성: 현재 전 세계적으로 배포 중인 연령 검증 파이프라인은 저비용, 비전문가 수준의 화장만으로도 쉽게 우회될 수 있음을 입증했습니다.
2. 규제적 공백 지적: 현재 연령 검증 시스템에 대한 규제 (예: NIST FATE 프로젝트) 는 인구통계학적 정확도 편차만 평가할 뿐, 적대적 입력 (Adversarial Inputs) 에 대한 견고성을 고려하지 않고 있습니다.
3. 모델 선정 기준의 변화: 연령 검증용 모델 선정 시, 단순한 정확도 (MAE) 뿐만 아니라 **적대적 견고성 (Adversarial Robustness)**을 필수 평가 기준으로 포함해야 합니다.
   • VLM 기반 모델이 전용 CV 모델보다 상대적으로 견고할 수 있으나, 여전히 60% 이상의 우회율이 발생하므로 추가적인 보완책 (다중 인증 등) 이 필요합니다.
   • DEX 와 같은 구세대 모델은 높은 ACR 과 낮은 민감도로 인해 연령 검증에 적합하지 않습니다.

결론적으로, 이 연구는 AI 기반 연령 검증 기술이 실제 환경에서 단순한 화장만으로 무력화될 수 있음을 경고하며, 보다 견고한 검증 프로토콜과 정책적 대응의 필요성을 강력히 주장합니다.