새로운 소셜 엔지니어링? 딥페이크 활용한 온라인 면접 사기 속출

FBI의 온라인 범죄 신고 센터에 기업들의 전화가 최근 많이 걸려온다고 한다. 딥페이크 기술로 취업 면접을 보려는 사람이 늘어나고 있다는 것이다. 아직 정확한 공격 동기는 파악할 수 없지만, 조만간 딥페이크가 실질적인 위협이 될 날이 멀지 않아 보이는 건 확실하다.

[보안뉴스 문가용 기자] 보안 전문가들은 최근 새로운 소셜 엔지니어링 기법에 경악하고 있다. 딥페이크 기술을 활용해 원격 직업 면접을 실시하는 전략인데, 이에 대한 최초 경고는 FBI의 인터넷범죄신고센터에서부터 나왔다. 최근 사이버 사기꾼들이 온라인 면접을 통해 원격 근무자 자격을 취득한 뒤 갖가지 악성 행위를 실시한다는 내용이었다.

[이미지 = utoimage]

FBI는 최근 이런 류의 신고가 급증하고 있다고 경고했다. “아직 딥페이크 기술이 완전하지는 않아 영상에서 보이는 입술의 움직임과 음성 정보가 일치하지 않을 때가 많습니다. 영상에서는 재채기나 기침을 하는데, 음성으로서는 전혀 그런 일이 벌어지지 않고 있는 등의 사례가 있다고 합니다.” 이런 식으로 기업들을 속이려 하는 공격자들은 지원자를 사칭하기 위해 딥페이크 영상은 물론 개인 식별 정보도 함께 활용한다고 한다. 이는 1차적인 합격자를 가려내고 배경 점검을 하는 과정에서 드러나기도 한다고 기업들은 신고하고 있다.

왜 하필 입사 지원자들을 사칭하는 걸까?
FBI의 권고문에는 이번 공격에 대한 동기가 나오지 않고 있다. 다만 기업의 민감한 정보에 접근이 가능할 정도의 위치에 있는 직무와 직급에 지원하는 사례들이 많다고 한다. 그래서 보안 전문가들은 기업 내 민감한 정보에 접근하려는 것이 이러한 ‘딥페이크 취업 사기’의 가장 큰 이유라고 보고 있다. 여기에는 고객 정보와 금융 정보, 각종 지적 재산 등이 포함될 수 있다.

보안 업체 피아노(Piiano)의 CEO 길 다바(Gil Dabah)는 “만약 해커가 이런 방법으로 유명 기업이나 중요 기관에 취업하는 데 성공할 경우 중요 정보에 매우 가까이에까지 갈 수 있게 되는 것”이라고 설명한다. “실질적인 내부자 위협이 되는 것이죠. 공격하기는 좋고, 탐지하기는 어려운 그런 존재 말이죠.”

또 다른 보안 업체 아머블록스(Armorblox)의 CEO DJ 삼파스(DJ Sampath)는 “단기적으로 자신의 해킹 이력을 감춘 채로 입사를 하고자 하는 사람들일 수도 있다”고 말한다. “딥페이크로 가짜 프로파일을 만들어 스스로를 완전히 다른 사람으로 둔갑시키는 것이죠. 그렇게 함으로써 이력 조회 등을 무사히 넘길 수 있기를 바라면서요. 진짜 취업을 노리는 사람들의 면접 통과 기술로서 딥페이크가 활용되는 것도 얼마든지 생각해볼 수 있는 시나리오입니다.”

그 외에는 해외의 APT 단체들이 적국의 기업들로 침투하기 위해 이러한 기술을 활용하는 것일 수도 있다. 보안 업체 주미오(Jumio)의 CTO인 스튜어트 웰즈(Stuart Wells)는 “최근에도 국무부, 재무부, FBI는 북한 IT 전문가들이 프리랜서인 것처럼 위장해 미국 기업과 기관들에 원격 취업하려는 움직임을 보인다는 경고문을 발표하기도 했었다”고 말한다. 그 때도 기업들의 주요 정보를 노리는 전략이라고 전문가들은 평가했었다.

CISO들에게 이는 어떤 의미를 갖는가?
딥페이크를 이용한 각종 피싱 및 소셜 엔지니어링 공격은 업계 내에서 계속해서 경고되어 왔었다. 하지만 극소수만 제외하고는 딥페이크 사기 공격은 이론 속에만 존재하는 것이었다. 실제 피해 사례가 없진 않았는데 첫 손에 다 꼽히지도 않을 정도로 희박했다. 하지만 “딥페이크를 이용한 취업 사기가 여러 기업들로부터 제보되고 있다”는 FBI의 경고문에 따르면 이제 딥페이크가 이제 기업들을 위협하는 실질적인 위험 요인이 되어가고 있다고 봐도 무방하다.

캘리포니아대학의 전기컴퓨터공학과 교수인 아밋 로이챠우더리(Amit Roy-Chowdhury)는 “기업에 있어 충분한 위협이 된다고 느껴도 절대로 호들갑 떠는 게 아니다”라고 설명한다. “다만 아직까지는 딥페이크 영상이 기술적으로 미완되어 있습니다. 그래서 눈으로 봤을 때도 이상한 걸 느낄 수 있죠. 물론 이것도 기술이 빠르게 발전함에 따라 곧 보완이 되겠지요. 그리고 더 보편화 되겠고요. 그렇다면 각종 가짜 영상으로 모든 기업들은 혼란에 빠지게 될 겁니다.”

삼파스는 “딥페이크 영상과 함께 개인 식별 정보를 함께 사용해 누군가를 사칭한다는 걸 주의 깊게 살펴야 한다”는 의견이다. “다크웹에서 타인의 개인정보를 쉽게 구매할 수 있다는 건 이미 널리 알려진 사실입니다. 그리고 개인정보와 딥페이크가 결합했을 때 더 그럴 듯한 가짜가 되고, 따라서 우리는 딥페이크만이 아니라 개인정보의 악용이라는 부분에서도 방어 태세를 취해야 합니다. CISO들은 보다 꼼꼼하게 신원 확인과 배경 점검을 해야 하겠고요.”

3줄 요약
1. 최근 미국 기업들 사이에서 딥페이크 영상 활용한 온라인 취업 면접 행위 이어지고 있음.
2. 이런 공격자들의 진짜 목적은 민감 정보 탈취, 좋지 않은 과거 감추기, 적국 침투 등으로 보임.
3. 딥페이크가 아직 불완전해 눈으로 이상한 점을 볼 수 있으나, 곧 기술 완성도 높아질 예정.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)