I-XRAY란
2024년 9월, Harvard 3학년 AnhPhu Nguyen와 Caine Ardayfio는 소비자용 스마트 안경, 역방향 얼굴 검색 엔진, 공개 데이터 브로커 사이트를 연결하여 실시간으로 낯선 사람을 식별하는 I-XRAY라는 시스템을 구축했습니다. 그들은 Boston 대중교통에서 시연했습니다—누군가를 바라보면, 약 90초 안에 그 사람의 이름, 집 주소, 전화번호, 고용주가 휴대폰 화면에 나타났습니다.
그들은 2024년 9월 30일 X에 데모 영상을 게시하며 "한눈에 우리 데이터가 노출되는 세상에 준비되어 있습니까?"라는 슬로건을 달았습니다. 10월 중순까지 영상은 2,000만 회 이상 조회되었습니다. 404 Media, The Verge, Ars Technica, Forbes, Harvard Crimson이 모두 이 이야기를 보도했습니다.
학생들은 코드를 절대 공개하지 않겠다고 명시했습니다. 이것은 공개적으로 이용 가능한 도구로 이미 가능한 것을 보여주고—그것을 작동하게 하는 데이터베이스에서 탈퇴하도록 사람들을 촉구하기 위한 시연 프로젝트였습니다.
기술적으로 어떻게 작동했나
I-XRAY는 단일 소프트웨어가 아니었습니다. 이 목적으로 만들어지지 않은 기존 서비스들의 파이프라인이었습니다:
1단계 — 캡처. Ray-Ban Meta 안경(Gen 2)이 Instagram Live로 영상을 라이브 스트리밍했습니다. 노트북 프로그램이 라이브 스트림을 모니터링하고 영상 피드에서 얼굴 이미지를 추출했습니다.
2단계 — 역방향 얼굴 검색. 얼굴 이미지는 조지아 트빌리시에 기반을 둔 역방향 얼굴 검색 엔진 PimEyes에 업로드되었습니다. PimEyes는 해당 얼굴과 일치하는 공개 색인 사진의 URL을 반환했습니다—이름이 아니라, 그 얼굴이 등장하는 웹 페이지 링크입니다.
3단계 — 신원 추출. 대규모 언어 모델이 해당 URL의 텍스트를 스크래핑하여 비구조화된 웹 페이지에서 이름, 직업, 학교 및 기타 세부 정보를 추론했습니다.
4단계 — 데이터 브로커 조회. 이름이 확인되면, 시스템은 FastPeopleSearch, CheckThem, Instant Checkmate 등 공개 인물 검색 사이트를 조회하여 집 주소, 전화번호, 나이, 가족 관계를 검색했습니다.
5단계 — 선택적 심층 조회. 전화번호가 있으면, Cloaked.com과 같은 서비스를 조회하여 사회보장번호 일부를 검색할 수 있었습니다.
모든 처리는 안경이 아닌 외부 컴퓨터에서 이루어졌습니다. 안경은 일반 안경처럼 보이는 카메라일 뿐이었습니다—그것이 전부였습니다. Nguyen은 Business Insider에 동일한 파이프라인이 스마트폰을 포함한 어떤 카메라에서도 작동한다고 말했습니다. 안경이 은밀하게 만들었습니다.
안경이 핵심이 된 이유
학생들은 Ray-Ban Meta Gen 2를 선택한 이유가 "일반 안경과 거의 구별할 수 없기" 때문이라고 했습니다. 기차에서 누군가를 향해 휴대폰 카메라를 들면 눈에 띕니다. 안경처럼 보이는 안경은 그렇지 않습니다.
그들은 또한 녹화 표시 LED를 가려 스캔을 완전히 보이지 않게 만들었습니다—20개월 후 Joanna Stern의 LED 훼손 조사를 예고하는 세부 사항입니다.
Meta의 대응
여러 매체에서 반복된 Meta의 성명:
"명확히 하자면, Ray-Ban Meta 안경에는 얼굴 인식 기술이 없습니다. 우리가 볼 수 있는 바로는, 이 학생들이 어떤 카메라, 휴대폰, 또는 녹화 장치로 찍은 사진에서도 작동하는 공개적으로 이용 가능한 얼굴 인식 소프트웨어를 단순히 사용하고 있는 것입니다."
Meta는 세 가지를 강조했습니다: 안경은 기기 내에서 얼굴 인식을 실행하지 않는다; 사용자가 비활성화할 수 없는 캡처 LED가 존재한다; 이용약관이 LED 훼손을 금지한다. 학생들은 물론 LED를 단순히 가렸습니다.
PimEyes의 대응
2025년 1월, PimEyes CEO Giorgi Gobronidze는 Snopes에 회사가 I-XRAY에 "관여하지 않았으며" "그러한 실험을 지지하지 않는다"고 말했습니다. PimEyes는 프로젝트와 연관될 수 있는 8개 계정이 폐쇄되었으며 학생들이 개인 계정을 사용했다고 밝혔습니다—회사는 API 접근을 부여하지 않았습니다.
PimEyes는 또한 서비스가 사람을 "식별"하지 않는다고 유지했습니다. 일치하는 얼굴이 등장하는 웹 페이지 링크를 반환할 뿐입니다. 이 구분은 기술적으로 정확하고 실질적으로는 무의미합니다—링크는 이름이 포함된 페이지로 이어집니다.
이후에 일어난 일
코드는 공개되지 않았습니다. 학생들은 모든 요청을 거부했습니다. Snopes는 2025년 1월 도구가 적극적으로 유지되지 않으며 2024년 11월에 마지막으로 완전히 작동했다고 확인했습니다.
문서화된 모방 사례 없음. 바이럴적 관심에도 불구하고, 2026년 7월까지 어떤 보도에서도 I-XRAY의 공개 재구현은 발견되지 않았습니다.
학계 참여. Harvard Law School의 Library Innovation Lab은 2025년 1월 Jonathan Zittrain 교수와 함께 프로젝트 및 탈퇴 가이드에 관한 점심 모임을 주최했습니다.
입법적 추진. 미국에서 I-XRAY를 명시적으로 언급하는 법안은 없지만, 시연은 2026년 스마트 안경 개인정보 보호 입법의 참고점이 되었습니다. California의 SB 1130(2026년 2월 도입)은 사업장에서의 비밀 웨어러블 녹화를 범죄화하고 녹화 표시등을 비활성화하는 하드웨어를 겨냥합니다. Pennsylvania의 HB 2603(2026년 6월 도입)은 스마트 안경에 가시적 녹화 표시기를 요구합니다.
NameTag 연결
2026년 6월—I-XRAY 20개월 후—WIRED는 5,000만 다운로드의 Meta AI 앱에서 "NameTag"라는 휴면 얼굴 인식 코드를 발견했습니다. 코드에는 얼굴 감지, 얼굴 인쇄 생성, 이전에 만난 사람을 인식할 수 있는 매칭 시스템이 포함되어 있었습니다.
I-XRAY와 NameTag는 기술적으로 다른 시스템입니다. I-XRAY는 제3자 역방향 얼굴 검색을 사용해 낯선 사람을 식별했습니다. NameTag는 기기 내 생체 인식 얼굴 인쇄를 사용해 착용자가 이전에 만난 사람을 인식했습니다. 하지만 궤적은 같습니다: 스마트 안경을 사진 촬영과 AI 지원에 유용하게 만드는 형태 요소가 동의 없는 감시를 가능하게 하는 동일한 형태 요소입니다.
Meta는 WIRED 보도 후 24시간 이내에 75개 단체가 서명한 ACLU 주도 연합 서한과 대중적 반발 이후 앱에서 NameTag 코드를 거의 모두 제거했습니다.
I-XRAY가 탐지에 중요한 이유
I-XRAY 파이프라인은 안경이 Instagram에 라이브 스트리밍하기를 요구했습니다—즉, 안경이 Wi-Fi와 Bluetooth를 통해 활발히 전송하고 있었다는 뜻입니다. 전체 파이프라인은 안경과 페어링된 휴대폰 사이의 무선 통신에 의존했습니다.
이것이 바로 라디오 기반 탐지가 읽는 신호입니다. Glasses Radar는 반대편에서 얼굴 인식이 실행 중인지 판단하려 하지 않습니다. 카메라가 장착된 안경이 근처에 있고 통신 중이라는 것—모든 I-XRAY 스타일 공격의 전제 조건—을 감지합니다.
학생들 자신의 탈퇴 권고는 PimEyes와 데이터 브로커 사이트에서 자신을 제거하는 것이었습니다. 좋은 조언이며 실행할 가치가 있습니다. 하지만 이것은 사후 방어입니다—식별 시도로 인한 피해를 줄이지만, 시도가 진행 중이라는 것을 알려주지는 않습니다. 카메라 안경이 있는지 인식하는 것이 첫 번째 방어선입니다.
I-XRAY가 사용한 데이터베이스에서 탈퇴하는 방법
학생들은 탈퇴 안내가 담긴 Google Doc을 발행했습니다. 핵심 단계:
- PimEyes — pimeyes.com/en/opt-out-request-form에서 색인에서 얼굴 삭제 요청
- FaceCheck.ID — 삭제 요청 제출
- FastPeopleSearch — fastpeoplesearch.com/removal 방문 후 양식 작성
- CheckThem — checkthem.com/optout에서 삭제 요청
- Instant Checkmate — instantcheckmate.com/opt-out 사용
이러한 삭제는 노출을 줄이지만 영구적이지 않습니다. 데이터 브로커는 공개 기록을 재색인합니다. 탈퇴는 일회성 수정이 아닌 반복적인 작업입니다.
결론
I-XRAY는 2024년에 많은 개인정보 연구자들이 수년간 경고해 온 것을 입증했습니다: 일반 안경처럼 보이는 소비자용 스마트 안경이 자유롭게 이용 가능한 얼굴 인식 도구 및 규제되지 않은 데이터 브로커와 결합되면, 동기가 있는 누구나 도구를 연결하여 실시간 낯선 사람 식별이 가능해집니다.
코드는 공개되지 않았습니다. 파이프라인은 더 이상 유지되지 않습니다. 하지만 모든 구성 요소는 여전히 존재하며 공개적으로 접근 가능합니다. PimEyes는 여전히 운영 중입니다. 데이터 브로커는 여전히 기록을 판매합니다. 그리고 안경은 데모가 바이럴될 때보다 더 많이 판매되고 있습니다.
I-XRAY가 확립한 위협 모델은 가설이 아닙니다. 기차에서, 카메라 앞에서, 수천만 명이 시청하며 시연되었습니다.