보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

금융 산업을 딥페이크로부터 보호하기 위한 전략

입력 : 2023-09-12 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
발전하고 있는 딥페이크 기술은 그 무엇보다 금융 산업에 커다란 위협이 되고 있다. 보안에 있어 둘째가라면 서러워할 금융 산업이지만, 딥페이크에 있어서는 새롭게 긴장해야 할 것으로 보인다. 차원이 다른 위협이 될 공산이 크기 때문이다.

[보안뉴스 문정후 기자] 딥페이크 기술이 성장하면서 금융 분야가 위태로워지고 있다. 인공지능으로 만들어진, 진짜와 너무나 똑같은 가짜 콘텐츠들이 각종 사기의 재료로 활용되기 시작했기 때문이다. 시장 조사 기관 퓨리서치(Pew Research)에 의하면 “이미 인공지능으로 만들어진 가짜 영상과 이미지를 구별해내는 것은 일반인에게 매우 어려운 일”이라고 발표하기도 했었다. 사이버 공간은 점점 더 거짓으로 가득 차고 있는데, 그 거짓을 활성화시킬 기술들만 출시되는 것처럼 보일 정도다.

[이미지 = gettyimagesbank]


금융 기관을 옥죄어 오는 기술, 딥페이크
딥페이크는 사기에 악용될 가능성이 매우 높으며, 그랬을 때의 잠재력 또한 풍부하기 그지없는 기술이다. 은행을 비롯해 각종 금융 관련 조직들은 물론, 각종 금융 서비스를 이용하는 개개인들에게도 큰 위협이 될 수밖에 없다. 최근 먼저 떠난 사랑하는 사람들의 목소리를 인공지능으로 재생하여 감동을 불러일으키는 콘텐츠들이 많이 나오고 있는데, 은행권에서는 이런 콘텐츠를 볼 때마다 찜찜한 느낌을 감출 수 없다. 죽은 사람을 저렇게 눈물나게 잘 흉내 내는 인공지능이 여러 고객들의 목소리를 흉내 내지 못할 이유가 없기 때문이다.

실제로 딥페이크 기술은 디지털 공간에서 진짜와 똑같은 가짜를 얼마든지 만들어 낼 수 있다. 기업 CEO나 재정 관련 결정권자를 흉내 낼 수 있으며, 마치 이들이 전화를 건 것처럼 부하 직원들을 속이는 것도 가능하다. 그렇다는 건 여러 사람들에게 각종 지시를 내릴 수 있다는 뜻이 되며, 특정 계좌에 급히 돈을 보내라고 한다면 회사에 금전적 손실을 일으킬 수 있다는 뜻이 된다. 직원들만이 아니라 파트너사나 투자자들도 속일 수 있다. 돈도 빼앗을 수 있지만, 그 외 다른 것들도 비슷한 방식으로 훔치거나 다른 목적을 달성할 수도 있다.

또한 딥페이크는 가짜 재정 보고서도 만들 수 있고, 재정 보고서에 들어갈 만한 가짜 데이터도 생성할 수 있다. 시장 무결성도 침해할 수 있고, 그렇게 함으로써 기업과 브랜드의 신뢰도를 갉아먹어 명성을 끝없이 추락시킬 수도 있다. 단순히 돈을 훔치네 마네 하는 문제가 아니라, 투명한 회계 보고와 공개를 통해 투자자들을 유치하여 새로운 상품과 서비스를 시장에 내놓는 시장의 건강한 순환 자체가 오염될 수 있다는 것이다. 딥페이크의 이러한 성능이 널리 알려질수록 우리는 시장 시스템 자체에 대한 불신이 확산된다.

뿐만 아니라 자녀의 목소리를 똑같이 만들 경우, 유괴 사건이 벌어진 것처럼 부모들을 위협할 수도 있다. 범죄자들이 겁먹은 부모들을 앞세워 금융 기관에 접속하여 거래를 진행하게 될 경우 은행이 탐지하기 힘들고 따라서 방어할 수 없다. 딥페이크를 어떻게든 악용하려는 시도는 앞으로도 계속 존재할 것이며 갈수록 다양해지고 발전할 예정이다.

딥페이크에 대항한 방어벽 세우기
딥페이크를 활용한 공격에 맞서려면 능동적인 보안 방어 태세를 구축해야 한다. 왜냐하면 딥페이크라는 기술이 상상 이상의 갖가지 공격을 가능하게 해 주며, 따라서 모든 가능성을 상상만으로 대처하기는 어렵기 때문이다. 공격자들의 행태와 트렌드를 조사해 적극적으로 반영해야 한다. 여기에 더해 리스크를 줄일 수 있게 해 주는 몇 가지 방안들이 존재한다.

1) 인지 제고와 훈련 : 딥페이크의 활용 가능성이 무궁무진하다는 것은 방어 팀과 담당자 몇 명만으로는 역부족이라는 뜻이다. 디지털 기술을 활용하는 모든 사람이 보안에 협조해야 하고, 보안 팀들은 이제 이런 분위기를 이끌어내야 한다. 특히 딥페이크가 어떤 기술이고, 어떤 사기에 활용될 수 있는지 등을 여러 사례를 소개하며 설명해 경각심을 높여야 한다. 아직까지 딥페이크를 활용한 공격의 핵심은 ‘속이기’이다. 그러므로 최대한 속지 않도록 만드는 것에 집중해야 한다.

디지털 매체를 통해 들어온 콘텐츠를 임직원들이 하나하나 확인하게 하려면 표현이 이상할 수 있는데 ‘의심의 문화’를 만들어야 한다. 적어도 디지털 공간에서라면 아무거나 쉽게 믿지 않도록 회사 분위기를 형성하는 게 중요하다. 사람들이 자발적으로 의심하도록 만드는 데까지만 성공해도 공격을 허용할 가능성이 많이 줄어든다. 물론 이는 디지털 콘텐츠에 대한 얘기지, 회사 내에 서로가 서로를 못 믿는 불신의 분위기를 조성하라는 게 아니다.

2) 인증 절차의 강화 : 딥페이크 기술이 아무리 교묘하다 하더라도 결국에는 피해자가 속아서 ‘뭔가’를 실행해야 한다. 속아서 여론을 만드는 데 일조한다든지, 이상한 곳에 돈을 송금한다든지, 정보를 누군가에게 넘긴다든지 하는 식의 행동이 뒤따라야 딥페이크로 속이는 것에 의미가 있을 수 있다. 그렇기 때문에 이런 행동들을 쉽게 하지 못하도록 인증 절차를 강화하면 방어에 큰 도움이 된다. 피해자가 속더라도 돈을 송금하거나 정보를 외부 망으로 전송하는 절차가 까다롭고 복잡하다면 실질적인 피해를 일으킬 수가 없다.

인증을 어렵게 하려면 층위를 복잡하게 만드는 게 좋다. 예를 들어 특정 금액 이상의 돈을 새로운 계좌에 보낼 때 두세 사람의 인증이 있도록 한다든지 하면 담당자 한 사람 속이는 걸로 공격자가 뜻을 이룰 수 없게 된다. 정보를 전송할 때도 여러 번의 승인과 인증을 거치게 한다면, 속아서 정보를 보내려다가도 중간에 정신을 차릴 가능성이 생긴다.

3) 고객 지원 채널 운영 : 금융 산업의 경우 딥페이크로 인한 각종 사기 공격이 실제적으로 일어나는 지점은 대부분 고객들일 것이다. 공격자들은 고객을 다양한 방법으로 속여 돈을 자기들에게 넘기게 하는 수법을 가장 선호한다. 은행 직원이나 전산망을 직접 노리는 경우가 없진 않지만 고객을 노리는 것보다 압도적으로 적다.

그러니 금융 조직이라면 고객들에 대한 지원을 잊지 않는 게 중요하다. 고객들이 수상한 점이 있으면 즉각 은행(혹은 기타 금융 조직)과 기꺼이 소통할 수 있도록 해야 한다. 당연히 들어오는 제보들 중 대다수는 오보일 것이다. 그럼에도 이들의 신고와 제보를 등한시해서는 안 된다. 어쩌다 맞는 하나가 수천만 달러 사기를 막을 수도 있기 때문이다.

금융 분야는 예전부터 보안에 특화된 곳이었다. 보안 기술에 있어서는 다른 산업의 추종을 불허해왔다. 하지만 그렇기 때문에 공격자들은 이들을 넘어서려고 애쓰고 있으며, 그런 가운데 새로운 공격 기술들이 나오고 있다. 아이러니하지만 금융 분야가 너무 잘하고 있어 위험해지는 것이라고도 할 수 있다. 그리고 지금 다가오고 있는 위험은 단연 딥페이크다. 여태까지 잘해 왔던 것처럼, 딥페이크에 대해서도 올바른 보안 대비책을 마련할 차례다. 그리고 거기에는 고객들도 참여해야 한다.

글 : 케빈 커크우드(Kevin Kirkwood), 부 CISO, LogRhythm
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)