Windows Recall, 5분 만에 뚫리는 조건이 있습니다

Microsoft는 “생체 인증 없이는 Recall에 접근할 수 없다”고 공식 문서에 밝혔습니다. 그런데 보안 연구자 Kevin Beaumont가 실제로 테스트해 보니, PIN 4자리만 알면 비기술적 사용자도 5분 안에 타인의 Recall 전체 기록에 접근했습니다. 이 글은 공식 자료와 실측 결과를 교차해 Recall의 실체를 짚습니다.

Windows Recall이 뭔지부터 정확히 짚겠습니다

Windows Recall은 PC 화면을 수 초 간격으로 자동 캡처해 로컬 데이터베이스에 저장하는 기능입니다. 자연어로 “지난주에 봤던 그 계약서”처럼 검색하면 스냅샷에서 꺼내 줍니다. Microsoft는 이를 “디지털 사진 기억력”이라고 표현했습니다. (출처: Microsoft Recall 공식 지원 문서)

중요한 건 동작 방식입니다. 캡처된 모든 이미지는 기기 내부에서 OCR(광학 문자 인식)과 시맨틱 분석을 거쳐 텍스트 데이터베이스로 변환됩니다. 클라우드 전송은 없고, 외부 AI 서버도 쓰지 않습니다. 이 모든 과정이 NPU(신경망 처리 장치)에서 실행됩니다. 그래서 NPU가 없는 구형 PC에서는 아예 구동 자체가 안 됩니다.

오해하기 쉬운 부분 하나. Recall은 오디오를 녹음하지 않고, 영상을 연속 저장하지도 않습니다. 스냅샷 단위의 정지 이미지 캡처입니다. (출처: Microsoft 공식 Recall 지원 문서) 하지만 게임 플레이 중 대사, 화상회의 자막, 심지어 삭제된 메시지까지 텍스트 인덱싱이 됩니다. 이것이 논란의 핵심입니다.

▲ 목차로 돌아가기

Copilot+ PC가 아니면 쓸 수 없는 이유

Recall은 모든 Windows 11 기기에서 쓸 수 있는 기능이 아닙니다. Copilot+ PC라는 하드웨어 조건을 충족해야 합니다. Microsoft가 정한 최소 사양은 NPU 성능 40 TOPS 이상, RAM 16GB, 저장 공간 256GB입니다. (출처: Microsoft Copilot+ PC 하드웨어 요구사항 문서)

현재 이 조건을 만족하는 프로세서는 Qualcomm Snapdragon X 시리즈, Intel Core Ultra 200V/300 시리즈, AMD Ryzen AI 300/400 시리즈입니다. 기존에 쓰던 Intel 12세대, AMD Ryzen 6000 이전 세대 CPU는 NPU 성능 기준 미달로 Recall을 실행할 수 없습니다. 지금 사용하는 노트북이 “AI PC”라고 광고됐어도, NPU 스펙이 공식 기준에 못 미치면 Recall은 설치조차 되지 않습니다.

추가 조건도 있습니다. Windows Hello 등록이 필수입니다. 얼굴 인식 또는 지문 중 하나라도 등록되지 않으면 Recall을 처음 켤 수 없습니다. 그리고 기본값은 꺼짐(Off)입니다. Copilot+ PC를 새로 설정할 때 별도로 동의하지 않으면 Recall은 비활성 상태로 유지됩니다. (출처: Microsoft Recall 공식 지원 문서)

▲ 목차로 돌아가기

생체 인증 없이도 열리는 조건이 따로 있습니다

여기서부터가 핵심입니다. Microsoft 공식 문서에는 이렇게 적혀 있습니다. “Recall을 실행하고 사용하려면 얼굴 인식 또는 지문 중 하나 이상의 생체 인증 옵션이 Windows Hello에 등록되어 있어야 합니다.” (출처: Microsoft Recall 공식 지원 문서, support.microsoft.com) 문장 자체는 맞습니다. 하지만 적용 범위가 다릅니다.

보안 연구자 Kevin Beaumont는 2025년 4월, Recall 정식 배포 직후 실측 테스트 결과를 공개했습니다. 결론은 이렇습니다. 생체 인증은 최초 설정 때만 필요합니다. 설정을 마친 이후에는 Windows Hello PIN(4자리 숫자)만으로 Recall 전체에 접근할 수 있습니다. 스냅샷 검색, 타임라인 탐색, 데이터 내보내기까지 전부 가능합니다. Beaumont는 카메라를 테이프로 가린 기기 여러 대에서 이를 직접 검증했습니다. (출처: doublepulsar.com, Kevin Beaumont 실측 보고서, 2025.04.21)

PCMag를 통해 Microsoft도 이 사실을 공식 확인했습니다. “Recall은 현재 Recall이 설정된 이후 대체 수단(fallback)으로만 PIN을 지원합니다. 이는 보안 센서가 손상됐을 때 데이터 손실을 방지하기 위한 것입니다.” (출처: PCMag, Microsoft VP 공식 입장, 2025.04.25) PIN이 폴백(fallback) 수단이라는 해명입니다. 그런데 실제로는 폴백이 기본 루트처럼 작동합니다.

더 중요한 점은 이렇습니다. Recall을 한 번 켰다가 꺼뒀어도, 이후에 PIN만으로 재활성화가 가능합니다. 즉, 과거에 잠깐 Recall을 써본 기기라면, 그 기기의 PIN을 아는 사람은 언제든 Recall을 다시 켜고 기록을 탐색할 수 있습니다. “껐으니 안전하다”는 생각 자체가 틀릴 수 있습니다.

▲ 목차로 돌아가기

민감 정보 필터링, 공식 발표와 실측이 다릅니다

Microsoft 공식 Recall 문서에는 이렇게 나옵니다. “민감 정보 필터링은 기본적으로 켜져 있으며, 비밀번호, 주민등록번호, 신용카드 번호 등 잠재적으로 민감한 정보가 감지될 경우 스냅샷 저장을 줄이는 데 도움이 됩니다.” (출처: Microsoft Recall 공식 지원 문서) 이 문장에서 핵심 단어는 “줄이는 데 도움이 됩니다”입니다. 차단하는 게 아닙니다.

Beaumont의 실측은 이 차이를 증명했습니다. Microsoft 계정 결제 페이지에서 신용카드 정보를 업데이트하는 과정을 진행했더니, 민감 정보 필터링이 켜진 상태에서도 유효한 카드 번호와 CVV가 Recall에 기록됐습니다. “credit card”로 검색하면 해당 스냅샷이 바로 나왔습니다. (출처: doublepulsar.com, 2025.04.21) 이건 지원하지 않는 브라우저(Vivaldi 사용)의 문제일 수 있지만, Microsoft 공식 예외 목록에 Vivaldi가 별도로 언급되지 않았습니다.

필터링이 지원되는 브라우저는 Microsoft Edge, Firefox, Opera, Google Chrome에 한정됩니다. 그 외 Chromium 기반 브라우저는 공식적으로 보장되지 않습니다. 또한 지원 브라우저라도 특정 탭이 포그라운드가 아닌 경우, 임베드된 콘텐츠는 필터링에서 제외될 수 있습니다. (출처: Microsoft Recall 공식 지원 문서) 쇼핑이나 금융 거래 중에는 Recall을 일시 정지하는 게 현실적인 방법입니다.

▲ 목차로 돌아가기

Microsoft가 2026년에 Recall을 다시 접으려는 배경

2026년 1월, Microsoft Windows 책임자 Pavan Davuluri는 Notepad와 The Verge를 통해 공식적으로 “사용자들의 피드백이 명확했다”며 AI 기능 축소를 예고했습니다. 실제로 2026년 3월 20일, Microsoft는 공식 Windows Insider 블로그를 통해 Photos, Widgets, Notepad, Snipping Tool에서 Copilot 연동을 줄인다고 발표했습니다. (출처: TechCrunch, 2026.03.20 / Microsoft Windows Insider 공식 블로그)

여기서 눈에 띄는 점이 있습니다. Microsoft는 Copilot을 앱 여러 곳에서 빼고 있지만, Recall만큼은 여전히 Copilot+ PC의 핵심 기능으로 계속 홍보합니다. 2026년 2월에 발표한 “2026년 AI PC 구매 가이드”에도 Recall이 핵심 항목으로 등장합니다. (출처: WindowsLatest, 2026.02.20) 논리적으로 이상해 보입니다만, 사실 이유는 단순합니다. Recall이 없으면 Copilot+ PC와 일반 Windows 11 PC의 차이가 사실상 사라지기 때문입니다.

내부적으로는 Recall 재설계까지 검토 중입니다. WindowsLatest가 내부 관계자를 인용해 보도한 바에 따르면, Microsoft 내부에서는 Recall이 “현재 형태로는 실패했다”고 보고 있으며, 기능 전면 재검토 또는 Recall이라는 이름 자체를 바꾸는 방안까지 논의 중입니다. (출처: WindowsLatest, 2026.01.31) 공식 확인된 내용은 아니므로 참고 수준으로 봐야 합니다만, 2026년 3월의 흐름과 맞닿아 있습니다.

▲ 목차로 돌아가기

Recall을 켜지 말아야 할 상황 3가지

Beaumont는 실측 이후 구체적인 고위험 집단을 명시했습니다. 다음 상황 중 하나라도 해당된다면, Recall 활성화는 신중하게 생각해 봐야 합니다. (출처: doublepulsar.com, Kevin Beaumont 실측 보고서, 2025.04.21)

반대로, Recall이 실제로 유용한 경우도 있습니다. 경도인지장애(MCI)처럼 기억에 어려움이 있는 사용자에게는 접근성 기능으로서의 가치가 있습니다. Beaumont 본인도 이 점은 인정했습니다. 사용 여부는 본인의 상황을 기준으로 판단해야 합니다.

▲ 목차로 돌아가기

자주 묻는 질문

▲ 목차로 돌아가기

마치며

솔직히 말하면, Recall 자체는 나쁜 아이디어가 아닙니다. “과거에 봤던 걸 바로 찾는다”는 개념은 충분히 유용합니다. 문제는 구현과 홍보가 실제와 달랐다는 점입니다. “생체 인증 없이는 열리지 않는다”는 문장을 그대로 믿었다면, PIN 4자리로 5분 만에 뚫리는 현실과 간격이 생깁니다.

2026년 3월 현재, Microsoft는 Copilot을 여러 앱에서 빼고 있습니다. Recall은 남겨두고 있지만 내부적으로는 재설계를 검토 중입니다. 어느 방향으로 바뀌든, 지금 이 시점의 Recall은 기본 설정을 바꾸지 않는 한 위험 요인이 있다고 봐야 합니다. Copilot+ PC를 사용 중이라면, Recall 상태를 한 번 직접 확인해 보는 게 낫습니다.

이 글 작성 이후 Microsoft 정책과 기능이 변경될 수 있습니다. 최신 내용은 아래 참고 자료를 직접 확인하세요.

▲ 목차로 돌아가기

📌 본 포스팅 참고 자료

1. Microsoft 공식 Recall 프라이버시·제어 문서 — support.microsoft.com
2. Kevin Beaumont 실측 보고서 (2025.04.21) — doublepulsar.com
3. PCMag — Microsoft Recall 정식 출시 보도 (2025.04.25) — pcmag.com
4. TechCrunch — Microsoft Copilot 축소 공식 발표 (2026.03.20) — techcrunch.com
5. WindowsLatest — Microsoft Windows 11 AI 축소 방침 보도 (2026.01.31, 2026.02.20) — windowslatest.com