보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

공격자들이 더 좋아하는 딥페이크, 수천만 달러 사기극에도 활용돼

입력 : 2024-02-06 17:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
딥페이크가 점점 더 진짜처럼 보이는 콘텐츠를 내놓기 시작했다. 그러면서 실제 피해 사례들도 하나 둘 등장하고 있다. 이미 보편화 된 이 위험한 기술을 진지하게 다룰 필요가 있다.

[보안뉴스 = 네이트 넬슨 IT 칼럼니스트] 딥페이크 기술로 콘텐츠를 생성해주는 소프트웨어가 다크웹에 넘쳐나고 있다. 다크웹에서 서식하는 사이버 범죄자들은 이런 소프트웨어를 사용해 각종 사기를 저지르고 있으며, 처음 당하는 낯선 공격에 피해자들이 하나 둘 나오고 있다.

[이미지 = gettyimagesbank]


수주 전 홍콩에 지부를 둔 한 다국적 기업의 직원 한 명은 업무 중 메시지를 하나 받았다. 재정과 관련된 업무를 보는 직원이었고, 메시지를 보낸 사람은 영국 본사에 있던 CFO였다. CFO는 자신을 대신해 긴급한 거래 한 건을 처리해달라고 요청해 왔다. 직원은 의심했다. 그리고 메시지를 무시했다.

조금 있다가 화상 컨퍼런스 콜이 들어왔다. 방금 그 CFO였다. 그리고 다른 동료들도 그 회의에 같이 참여하고 있었다. 자신이 알고 있던 동료들이었다. 이 직원은 회의에 접속한 후 간단히 인사를 나눴다. CFO는 다시 한 번 송금 건을 처리해달라고 그에게 요청했고, 그 요청이 끝나자마자 회의가 갑자기 종료됐다. 하지만 이미 의심은 다 걷힌 상황이었고, 그는 2550만 달러에 해당하는 돈을 15번에 나눠 보냈다. CFO가 요청한 그대로였다. 얼마 뒤 이 모든 게 사기였음을 알게 됐다.

딥페이크 소프트웨어 시장
딥페이크가 세상에 등장한 지 시간이 제법 지났다. 처음에는 조롱의 대상이었던 이 신기술은 어느 덧 많은 발전을 이뤄냈다. 보안 업체 아이프루브(iProov)의 CTO 도미닉 포레스트(Dominic Forrest)는 “보안 전문가로서 수십 년 동안 가짜와 진짜를 구분하는 일을 해왔고, 그 일에 상당히 자신이 있었는데 2020년경 부터는 구분이 어렵다고 느꼈다”고 말한다. 딥페이크 때문이다.

기술이 발전하면서 딥페이크에 접할 수 있는 창구가 늘어나고 조작의 난이도가 상당히 낮아졌다는 것 역시 문제다. “2010년대에만 하더라도 인공지능과 딥페이크를 다룬다는 건 고급 전문가의 영역이었습니다. 실제 작업의 난이도도 매우 높았고, 강력한 컴퓨터가 필요하기도 했었죠. 하지만 지금은 아닙니다. 간단한 앱을 무료로 다운로드 하거나 수십 달러 정도의 돈만내고 구매하면 양질의 딥페이크 콘텐츠를 누구나 만들 수 있습니다.” 포레스트의 설명이다.

그러면서 여러 가지 공격의 기술이 보편화 되고 있는데 그 중 하나가 ‘얼굴 스와핑(face swapping)’이라고 포레스트는 짚는다. “얼굴 스와핑을 전문으로 하는 도구들은 현재 다크웹에 100개도 넘게 존재합니다. 다크웹이 아니더라도, 정상적인 얼굴 스와핑 기술을 가진 앱들은 얼마든지 찾을 수 있죠. 이제 얼굴 스와핑은 신기한 인공지능 기술로 쳐주지도 않습니다. 또 15달러만 내면 가짜 신분증을 순식간에 만들어주는 서비스도 다크웹에 나타나기 시작했습니다. 포토샵으로 사진을 진짜처럼 만들고 신분증을 한땀 한땀 위조하는 시대는 지나갔습니다.”

기술력 자체도 좋아지고, 그 기술에 대한 접근성도 좋아지니 지금 다크웹에서는 딥페이크 기반 앱들이 끝없이 나오고 있다. 그야말로 중흥기에 들어섰다고 해도 과언이 아니다. “이제 실제 사람의 모습과 행동이 담긴 3분짜리 영상과, 그 사람이 실제로 말한 문장 100개만 있으면 딥페이크로 가짜 영상을 만들 수 있습니다. 가짜 영상은 실제와 구분이 불가능할 정도의 수준입니다.”

딥페이크 탐지, 어떻게 해야 할까
아직은 많은 사람들이 딥페이크의 위협을 진지하게 받아들이려 하지 않는다. 그 동안 딥페이크로 만든 ‘아쉬운’ 콘텐츠들이 다수 공개되어 왔기 때문이다. 누구라도 어색함을 느낄만한 움직임이나 발성 등, 딥페이크 기술에 허점이 없는 건 아니다. 하지만 인공지능과 딥페이크 기술은 빠르게 발전하고 있고, 기술적인 제한에 의한 구분은 불가능하게 될 것으로 모두가 예상하고 있다. 딥페이크 구분을 우습게 생각해서는 곧 딥페이크로 인한 사기 공격의 피해자가 될 수 있다는 뜻이다.

포레스트는 “사람이 맨눈으로 딥페이크로 만든 영상을 보고 진짜와 가짜를 식별하는 건 이미 불가능하다”고 강조한다. “그렇게 할 수 있다고 주장하는 사람들은 진짜 고급 딥페이크가 만든 결과물을 보지 못한 것 뿐이라고 생각합니다. 사람의 감각이나 느낌으로 딥페이크와 진짜를 구분하겠다는 건 매우 무모하고 시대착오적인 발언입니다. 인간의 한계를 넘어설 수 있다고 말하는 것과 다름이 없습니다.”

보안 업체 베리다스(Veridas)의 총괄인 케빈 브릴랜드(Kevin Vreeland)는 “보는 것마다 ‘이게 진짜일까, 가짜일까’ 고민한다고 해서 구분이 쉬워지는 건 아니”라고 강조한다. “직원을 딥페이크로부터 보호하려는 기업의 입장에서라면, 가공된 혹은 합성된 콘텐츠가 아예 직원에게 도달하지 못하도록 하면 됩니다. 알지 못하는 번호나 메일 주소로 전달되는 콘텐츠라든가, 특정 지역에서부터 오는 연락이 자동으로 차단되도록 하는 식으로 정책을 조정하는 게 필요합니다. 또한 특정 금액 이상의 돈을 송금할 때 여러 단계의 승인을 받도록 규정으로 정해도 피해를 최소화할 수 있습니다. 즉 기본적인 보안 실천 사항들을 꼼꼼하고 세부적으로 적용하면 딥페이크 역시 어느 정도 방어가 가능하다는 뜻입니다.”

하지만 그것이 완벽한 해결책이 될 수 없다는 건 브릴랜드도 알고 있다. “결국은 딥페이크를 탐지하는 기술이 등장하고 보편화 되어야 할 겁니다. 하지만 그런 기술이 등장하더라도, 그 기술 하나에만 의존해서 딥페이크를 차단할 수는 없을 겁니다. 그 기술과 맞물려 교육도 실시해야 하고 정책도 조정해야 하는 건 변함이 없습니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대