C2PA Content Credentials 리뷰 - 당신이 찍은 사진은 진짜입니까?

"이렇게 찍은 사진을 진짜라고 볼 수 있는 건가요?"

2016년, 구글의 첫 번째 자체 브랜드 스마트폰인 Pixel이 처음 출시되었을 때 누군가가 한 말입니다.

 

당시 구글은 픽셀의 구글 카메라 앱에 '컴퓨테이셔널 포토그래피'라는 개념을 도입해, 카메라의 이미지 센서에서 받은 결과물을 향상시키는 소프트웨어적 기술을 전면에 내세웠습니다. 당시 첫 번째 픽셀 스마트폰의 센서는 경쟁사 스마트폰들에 비해 좋지 않았음에도 불구하고, 거기에서 나온 결과물은 놀라운 품질을 보여 주었습니다. 상대적으로 부족한 데이터으로부터 '후처리' 과정을 통해 디테일이 살아 있고 품질이 좋은 사진을 만들어 주었던 건 '컴퓨테이셔널 포토그래피'라고 브랜딩한 일련의 알고리즘 덕분이었습니다.

그 알고리즘 중에서는 인접한 화소의 데이터를 참고해 원래의 데이터를 덮어씌우는 기능이 있었습니다. 아주 기초적이고 오늘날에는 당연하게 행해지는 행위이지만, 당시에는 이런 '데이터 조작'을 적극적으로 하는 알고리즘의 존재가 충격적이었던 모양입니다. 원본 데이터를 유실시켜 사진을 만든다면, 그 사진은 '진짜'라고 볼 수 있을까요? 이는 철학적 논쟁이기도 하지만, 실제로 이렇게 찍은 사진을 법정에서 증거로 채택될 수 있는가 라는 실용적인 영역에서도 짚고 넘어갈 만한 부분이었습니다.

픽셀의 사진은 지지부진하던 스마트폰 카메라에 패러다임 변화를 일으켰고, 이후 스마트폰 카메라는 카메라 센서의 스펙뿐만 아니라 이를 다루는 제조사의 알고리즘까지도 중요한 요소가 되었습니다. 컴퓨테이셔널 포토그래피의 시대가 도래한 겁니다.

10년이라는 시간이 흘러 2025년이 되었습니다. 컴퓨테이셔널 포토그래피의 포문을 연 픽셀은 어느새 10세대 제품이 나왔습니다. 촬영 결과물을 자동으로 보정하는 알고리즘은 너무나도 당연한 것이 되었습니다. 그러나 "이 사진은 진짜인가요?"는 더더욱 중요한 질문이 되었습니다.

픽셀 10 프로 시리즈에는 'Pro Res Zoom'이라는 기능이 탑재되었습니다. 이는 이전까지 픽셀에 있었던 'Super Res Zoom'과 비슷한 역할을 하지만, 그 원리는 상당히 다릅니다. Super Res Zoom은 알고리즘으로 보정을 진행하는 전통적인 컴퓨테이셔널 포토그래피의 일종이었지만, 새로운 Pro Res Zoom은 흐릿한 디지털 줌 사진을 생성형 AI를 통해 재생성하는 기능입니다. 흐릿한 확대 사진이 선명해지고 뭉게진 새의 깃털 질감이 생생해지는 것을 보면 마치 SF 드라마의 한 장면을 보는 것 같습니다.

출처: DPReview의 Abby Ferguson

하지만 한 물체를 다른 물체로 오인해 그럴듯하게 그려내고, 글자는 외계어처럼 만드는 등 생성형 AI의 특징을 그대로 보여 주기도 합니다. 인터넷에서는 생성형 AI를 통한 재생성이 실패해 우스꽝스럽게 찌그러진 건물의 사진이나, 비닐봉투를 고양이로 재생성한 사진이 놀림거리가 되었죠.

출처: Android Authority의 Ryan Haines

구글이 그 어느 때보다 생성형 AI에 진심인 지금, 자사 플래그쉽 스마트폰의 기능이자 실용성 있는 업그레이드로서 생성형 AI를 쓰는 것은 놀라운 일이 아닙니다. 그러나 고양이가 된 비닐봉투의 사진을 보면, 내가 방금 이 기능으로 찍은 사진이 '진짜'인가 라는 의문은 들 수밖에 없습니다. 이렇듯 '원본'을 찾는 기조는 생성형 AI가 점차 고성능이 되고 정교해지며 어느 분야에서나 나타나는 현상이지만, 이번 Pro Res Zoom처럼 접근성이 뛰어난 적은 드물기에 더욱 직접적으로 와닿습니다.

생성형 AI 결과물들이 '진짜인지'에 대해 묻는 질문에는 다양한 솔루션이 존재했습니다. 삼성처럼 자사의 AI 기능을 쓴 결과물 하단에 워터마크를 추가하는 비교적 간단한 방법부터, 생성된 결과물에 사람에게는 인지되지 않는 뎁스를 추가하는 딥마인드의 'SynthID'까지. 지금도 다양한 방법이 계속해서 나오고 있습니다. 다만 이들에는 전부 공통점이 있습니다. 바로 목적이 'AI냐 AI가 아니냐'를 묻는 일차원적인 질문이라는 것입니다. 이 방법으로는 이번 Pro Res Zoom의 사례처럼 '실제 데이터를 기반으로 AI가 재생성한 결과물'을 표현하기 다소 어려움이 있었습니다. 분명 생성형 AI를 사용한 것은 맞지만, 그 기반은 '진짜' 데이터니깐요.

구글은 이러한 시대정신에 대응하고자, 이번 픽셀 10 시리즈의 하드웨어와 소프트웨어(구글 카메라)에 걸쳐 Content Credentials이라는 표준을 빌트인했습니다.

 

Content Credentials

Content Credentials은 C2PA(Coalition for Content Provenance and Authenticity)라는 연합에서 지정한 표준으로, 미디어 파일의 근원(Origin)과 이력(History)을 담고 있는 일종의 메타데이터입니다. 한 미디어 파일에 저장되어 있는 Contents Credentials는 그 파일과 함께 암호로 묶여, 그 파일이 언제, 어떻게, 누구로부터 생성되었는지뿐만 아니라 어떻게 바뀌었는지에 대한 정보(Provenance)까지 담고 있습니다.

Certification Authority가 인증된 객체(개인, 회사, 애플리케이션 등)에 서명 보증을 발급하면, 그 인증된 객체가 생성하고 편집한 파일에 서명된 Content Credentials를 작성할 수 있게 됩니다. 이렇게 작성된 Credential은 그 파일에 연동되어 변조될 시 바로 검출할 수 있게 설계됩니다.

C2PA에서는 Content Credentials의 사용 예시로 미디어 연합을 들고 있습니다. 뉴스 기사에 포함된 사진이 인증받지 않은 중간자에 의해 변조된 것이 아님을 확인하려면 이전에는 원본을 직접 찾아야 했으나, Content Credentials를 확인하면 어떤 객체가 그 사진을 생성하고 편집했는지, 중간자가 사진을 변조하지는 않았는지 바로 확인할 수 있습니다.

특히 생성 또는 편집에 AI/머신러닝 기술이 포함되어 있다면, digitalSourceType이라는 필드에 명확히 명시됩니다.

 

픽셀 10 시리즈에 도입된 배경과 방법

구글은 현재 AI 생성 미디어를 인증하는 방식에 문제가 있다고 말합니다. 현재 대부분의 방식은 'AI냐 아니냐'를 따지고 AI로 생성/편집된 미디어에는 표식을 붙이는 방식이 대다수인데, 이는 사용자가 그러한 표식이 없는 미디어를 볼 때 'AI가 아니다'라고 생각하게 만드는 'implied truth effect'가 있기 때문입니다. 따라서 구글은 Content Credentials을 통해 '어떻게 만들어졌는지 정확히 확인할 수 있는' 방법을 제공하려 합니다.

픽셀 10 시리즈는 하드웨어와 소프트웨어(정확히는 픽셀 카메라 앱과 구글 포토 앱) 단에서 Content Credentials을 지원합니다. 여러 가지 로우-레벨과 하이-레벨 기술들로 무결성이 검증된 하드웨어와 소프트웨어가 확인되면, 픽셀 카메라 앱과 구글 포토 앱은 각각 Content Credentials이 연결된 미디어를 생성하고 편집할 수 있습니다. 강력한 하드웨어(Titan M2 칩) 기반 기술과 다양한 소프트웨어 무결성 인증 기술을 활용하기 때문에 변조는 불가능에 가까우며, 사용자와 연결지을 수 있는 정보를 최대한 없애면서 서명 키조차도 매번 바꾸는 방식을 채택함으로서 안전과 투명성을 둘 다 챙겼다고 합니다. 특히 오프라인 사용성을 담보하기 위해 보안 영역에서 신뢰 가능한 시계까지 작동하도록 만들었다고 합니다.

이 기술을 위해 구글이 보안 개념적으로 크게 공을 들이고 있다는 것을 체감할 수 있습니다. Content Credentials을 실기기에 도입하는 데에 있어 다양한 문제들이 있었을 것이고, 이를 해결하는 과정에서 새로운 개념들과 하드웨어/소프트웨어가 많이 생성되었을 것으로 예상합니다.

 

장점과 단점

Content Credentials는 인증받은 객체와 그것이 만든 미디어를 결합시켜 해당 파일이 어떻게 생성되었고 바뀌었는지를 투명하게 제공해 사용자들이 그 신뢰성에 대해 쉽게 판단할 수 있게 합니다. 이전의 메타데이터는 쉽게 변조가 가능한 일종의 메모에 가까웠다면, Content Credentials는 암호학 기법을 도입해 미디어 파일과 메타데이터를 연결시키고 그 무결성을 담보함으로서 신뢰할 수 있는 정보를 제공합니다.

물론 단점도 있습니다. 우선, 이러한 Credentials가 있다고 해서 무조건 진실은 아닙니다. 카메라로 찍은 사진이 전부 현실을 정확히 반영하는 것이 아닌 것처럼, 인증된 객체가 어떠한 의도를 가지고 생성/편집하는 걸 막을 순 없습니다. 다만 의도가 있다는 것이 확인된다면 그 인증된 객체가 원인이라는 것을 알 수 있을 뿐이죠. 따라서 사용자가 해당 객체에 대한 판단을 직접 해야 합니다.

예를 들어, 앞서 언급한 픽셀 10 프로의 Pro Res Zoom으로 찍은 사진은 위처럼 Content Credentials에 'AI 도구로 편집됨 - 구글 LLC에서 제공한 정보'라고 기록됩니다. 사용자는 이를 보고 픽셀로 촬영한 사진이라면 현실에 기반한 사진이므로 믿어도 된다고 생각할 수도 있고, AI 도구가 개입해서 원본에서 크게 변형되었을 수 있어 믿을 수 없다고 생각할 수도 있습니다. 또한 누군가는 구글 자체를 믿기 힘드므로 카메라로 촬영했다는 정보도 믿지 않을 수 있습니다. 그러한 가치 판단은 개인의 선택이며, Content Credentials은 '구글이 이렇게 인증했다'라는 정보 이상을 제공하기 힘듭니다.

또한 해당 미디어를 다루는 도구가 Content Credentials을 지원해야 합니다. 현재는 도입된 지 얼마 되지 않아 지원하는 도구가 많이 없기 때문에, 사용할 수 있는 환경이 많지 않습니다. 이는 Content Credentials가 널리 표준으로 받아들여질 것인지, 도구들이 얼마나 적극적으로 도입하는지가 관건이 될 것으로 보입니다. (참고로 Content Credentials이 담긴 미디어를 이를 지원하지 않는 도구로 편집하면 Credentials에 있는 정보가 무효화됩니다.)

마지막으로 구글의 여러 노력에서 알 수 있듯이, Content Credentials이 의도대로 작동하기 위해서는 변조가 불가능한, 보안적으로 안전한 환경이 담보되어야 합니다. 모바일 운영체제에서는 이를 어느 정도 담보할 수 있으나 모든 운영체제가 모든 상황에 대해 이런 수준의 보안을 제공하기란 어려울 테고, 결국은 온라인으로 연결되고 인증된 기기에서만 그때그때 서버와의 통신을 통해 Content Credentials를 서명할 수 있게 될 가능성이 높아 보입니다. 이는 필연적으로 개인정보 문제로 이어질 가능성이 높아 보입니다.

 

마치며

'생성과 편집 과정의 투명성'이라는 새로운 개념을 도입한 Content Credentials. 보안과 무결성 기술의 면에서 흥미롭고, 구글의 도입 과정은 배울 점이 많아 보입니다. 먼 훗날 돌이켜 보면 이 순간이 '디지털 무결성'의 역사에서 꽤 중요한 순간일 수도 있겠다는 생각이 듭니다.

하지만 결국 기술은 '이 사진은 진짜인가'라는 질문에는 대답하지 못했습니다. Content Credentials는 그러한 질문에 손가락을 들고 누군가를 가리키며 "너가 쟤를 믿을 수 있다면."이라고 답하고 있습니다. 결국은 누군가를 믿어야 하고, 그걸 기반으로 해야 신뢰를 구축해 나갈 수 있습니다.

앞으로 모든 종류의 디지털 정보에서 이러한 정보들이 투명하게 공개되기를 바라는 건 욕심일 겁니다. 그러나 우리가 중요하게 생각하는 가치에서만큼은 이러한 신뢰가 지켜졌으면 하는 바램입니다. 그렇지 못한다면 결국 석기시대와 똑같이 '내가 본 것만 믿을 수 있다'가 되어버릴 테니깐요.

 

 

참고문헌 및 출처

C2PA Specifications: https://spec.c2pa.org/specifications/specifications/2.2/index.html

C2PA Specifications :: C2PA Specifications

How Pixel and Android are bringing a new level of trust to your images with C2PA Content Credentials: https://security.googleblog.com/2025/09/pixel-android-trusted-images-c2pa-content-credentials.html

How Pixel and Android are bringing a new level of trust to your images with C2PA Content Credentials