Home > 전체기사
BEC 공격이 무서웠다고? 딥페이크 공격은 공포스러울 것이다
  |  입력 : 2020-01-22 16:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
온라인 사기술의 진화...피싱 방어 교육을 넘어서기 위해 공격자들이 선택한 신기술
상사의 지시를 따라야 한다는 조직 내 기본적인 생리를 뒤흔드는 공격


[보안뉴스 문가용 기자] 딥페이크 기술을 활용한 사기 공격이 등장하고 있다는 건 기업들에 재앙과 같은 소식이다. 특히 지난 해 한 에너지 회사의 최고 경영진이 딥페이크에 속아 범죄자들에게 20만 파운드를 송금했다는 소식은 방어자들을 깊은 염려로 이끌고 있다. 당시 범죄자들은 딥페이크 기술을 사용해 본사 회장의 목소리를 흉내 냈고, 지사의 최고 경영자는 직속 상관과 통화하고 있다는 것을 전혀 의심하지 못했다고 한다. 앞으로 이런 소식은 더 많이 우리 귀로 날아들 것이다.

[이미지 = iclickart]


또 다른 일도 있었다. 한 기자가 550 달러를 투자해 딥페이크 영상물을 처음부터 직접 개발해본 것이다. 스타트랙에 나온는 등장 인물 중 하나와 페이스북의 창립자인 마크 저커버그(Mark Zuckerberg)의 얼굴이 뒤바뀌어 나오도록 하는 게 목표였는데, 영상 완성까지 걸린 시간은 고작 2주였다. 그 기자가 딥페이크 전문가였을까? 전혀 아니다. 오히려 거의 아무 것도 모르는 상태였다.

기업이 변화해도, 공격자들은 적응한다
각종 피싱 공격이 이메일로 쏟아지자 기업들은 ‘전송자의 주소를 확인하라’고 직원들을 교육했다. 공격자들도 같은 기법만 계속 고집해서는 얼마 가지 않는다는 걸 인지하고 있다. 그럼에도 범죄의 대상으로서 기업이 가진 가치가 높기 때문에 포기할 수 없는 것도 그들의 입장이다. 자연스럽게 딥페이크라는 기술로 눈을 돌리게 되었다. 이메일로 속지 않는다면, 인공지능으로 만든 영상과 음성으로 속이겠다는 것이다.

딥페이크 기술은 이제 막 태동하기 시작한 기술이라고 볼 수 있다. 그렇다고 완전 새로운 기술은 아니다. 2013년에도 딥페이크 기술이 화제를 모은 적이 있을 정도니 말이다. 당시 영국의 국립범죄청(National Crime Agency, NCA)에서 근무하던 필자는 네덜란드의 한 NGO 단체가 딥페이크 기술을 사용해 10살 소녀가 등장하는 포르노 영상을 현실과 똑같이 만드는 걸 충격적으로 지켜본 바 있다. 물론 전 세계에 만연한 아동 포르노 영상을 잡아내기 위한 미끼로서 제작된 것이었지만, 충분히 경악스러웠다.

그렇게 범죄와의 전쟁을 위해 만들어진 기술이지만 지금은 오히려 범죄자들을 돕는 기술이 되어버렸다. 피싱 공격이나 이메일 침해 공격에 주의하라는 기업 내 보안 교육 커리큘럼을 비웃듯이 그들은 한 발 앞에 도달한 상태다. 앞으로 우리 어떤 일을 겪고 어떤 사건들을 목도할 것인가?

딥페이크 방어
그런 상황에서 우리들은 점점 더 온라인 생활에 익숙해지고 있다. 거의 모든 시간 온라인 상태를 유지하고 있다. 업무, 교육, 사교, 만남 모두 온라인에서 이뤄지고 있다. 그런 상태에서 점점 더 현실로 다가오고 있는 딥페이크에 대한 대비책을 마련하는 거 모든 조직의 필수 덕목이다. 교육과 기술적인 측면에서 접근해야 한다.

BEC도 그랬지만 딥페이크의 특히나 고약한 점은 조직 생활에서 발현되는 인간의 본능과 같은 부분을 건드린다는 것이다. 그건 바로 상사의 요청을 들어주고자 하는 마음이다. 그러니 딥페이크의 대비책을 마련한다는 건 상사의 지시에 따르면서도 합리적으로 의심케 하는, 미묘한 작업이다. 과하면 업무 프로세스가 삐걱대고, 부족하면 리스크가 커진다.

게다가 팀의 덩치가 크고, 원격 근무자와 각종 파트타이머들까지 존재하는 경우라면 문제는 더욱 복잡해진다. 이 때 팀원들은 동료의 정상적인 요청과 비정상적인 요청을 구분하기가 매우 어려워진다. 심지어 팀원에 대해 잘 모르는 경우들도 많다. 여기에다가 성격 급한 상사라도 하나 더하면, 사실상 딥페이크 공격에 대한 방어는 불가능하다고 봐도 무방하다. 공격자들이 딥페이크에 투자하는 이유다.

보안 교육, 새 시대를 맞이하라
이런 때에 기업들은 보안 교육 시간에 어떤 메시지를 전달해야 할까? ‘비정상적인 것’과 ‘정상적인 것’을 구분할 수 있도록 해줘야 한다. 말처럼 간단한 건 아니다. 업무 프로세스는 물론 요청자의 성격과 성향까지도 파악하고 있어야 정확한 판단을 할 수 있게 된다. 소규모 그룹에서는 이를 훈련한다는 게 그리 어렵지 않다. 하지만 위에서 언급했듯이 복잡한 구성의 팀 내에서는 불가능에 가까울 정도로 까다로운 일이 된다. 어쩌면 팀의 구조 자체를 바꾸는 노력이 필요할 수도 있다.

페이스북은 얼마 전 마이크로소프트와 손을 잡고 ‘딥페이크 탐지 대회(Deepfake Detection Challenge)’를 연다고 발표했다. 미국 하원에서는 딥페이크를 견제하겠다는 내용의 법안이 통과되기도 했다. 그러나 아직까지 딥페이크 기술을 앞세운 사기꾼들을 척결하기에는 부족하다. 규정과 기술이라는 측면 모두에서 가야 할 길이 멀다.

결국 음성 통화든 영상 통화든, 수화기 반대편에 있는 사람의 신원을 100% 정확하게 파악할 방법을 마련하는 것이 관건이다. 교육과 기술과 규정의 3박자가 갖춰져야 한다. 딥페이크 기술은 이미 우리 문 앞에 당도해 있다. 기업들은 서둘러야 할 것이다.

글 : 이안 크럭스턴(Ian Cruxton), Callsign
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상