Offcanvas

AI / 검색|인터넷 / 보안 / 분쟁|갈등 / 신기술|미래

영상통화까지 했는데 가짜?! ‘딥페이크’의 위험성과 대응 방안

2022.09.27 Deb Radcliff  |  CSO
‘딥페이크(Deepfakes)’는 보안 및 위험 관리에 실질적인 위협이 된다. 기술이 발전하고, 악의적인 행위자가 서비스형 딥페이크(deepfakes as a service)에 접근할 수 있게 되면서 상황은 더욱더 악화될 전망이다. 

지난 8월 암호화폐 거래소 바이낸스(Binance)의 최고 커뮤니케이션 책임자 패트릭 힐만은 받은 편지함을 스크롤 하다가 무언가 잘못됐다는 느낌을 받았다. 그가 참여한 것으로 보이는 투자자와의 화상통화에 관한 메시지 6개를 발견했기 때문이다. 

뭔가 이상하다는 것을 전혀 눈치채지 못한 채 ‘투자 기회를 주셔서 감사합니다’, ‘투자 조언과 관련해 약간의 우려가 있습니다’, ‘비디오 품질이 좋지 않습니다’라고 답한 투자자가 있었고, ‘지난 목요일의 줌 통화가 당신이었는지 확인할 수 있습니까?’라고 물어본 투자자도 있었다. 
 
ⓒBrownMantis (CC0)

힐만은 누군가가 자신의 사진과 목소리를 딥페이크하여 무려 20분 동안 고객들과 ‘사기’ 투자를 위해 비트코인을 넘기도록 설득하는 줌 통화를 했다는 사실을 파악했고, 가슴이 철렁 내려앉았다고 밝혔다. “투자자들은 나라고 사칭한 가짜 링크드인 및 텔레그램 프로필이 여러 상장 기회를 논의하는 자리에 초대했다고 전했다. 그리고 범죄자는 줌 통화에서 딥페이크 홀로그램을 사용하여 사기 치려고 했다”라고 그는 설명했다. 

기사 작성 시점 기준 250억 달러 규모의 세계 최대 암호화폐 거래소 바이낸스가 고객들의 암호화폐를 빼돌리려는 투자 사기에 연루된 것이다. 힐만은 “처음 있는 일이었다”라며, “AI 기반 딥페이크는 먼 미래의 일이라고 생각했는데, 이미 와 있었다”라고 그는 덧붙였다. 

이어 그는 몇몇 투자자가 영상에서 이상한 점과 지연되는 현상을 감지하지 않았다면 바이낸스는 (이 회사의) 막대한 보안 기술 및 인력 투자에도 이 딥페이크 영상 통화를 전혀 알아차리지 못했을 것이라고 전했다. 

서비스형 딥페이크(Deepfakes as a service)
AI 기반 딥페이크를 생성하기 더욱더 쉬워지면서, 이를 사용해 직원들을 타깃으로 사회공학 공격을 하거나 보안 통제를 우회하는 사례가 늘고 있다. 이에 美 국토안보부(DHS)는 최근 40쪽 분량의 딥페이크 보고서를 발표하기도 했다. 보고서는 온라인 소스에서 추출한 이미지와 음성을 합성하여 딥페이크를 생성하는 방법과 함께 이러한 공격을 완화할 방법을 제시했다.  

포티넷(Fortinet)의 포티가드 랩(FortiGuard Labs)에서 수석 보안 전략가이자 글로벌 위협 인텔리전스 부문 부사장을 맡고 있는 데릭 맨키는 “서비스형 랜섬웨어처럼 다크웹에서 서비스형 딥페이크가 유통되고 있다. 딥페이크가 사회공학에 매우 효과적이기 때문이다. 예를 들어 딥페이크는 기업 이메일 침해(BEC)에서 인기가 많다”라고 언급했다. 

웨일링 공격, BEC 스캠, 기타 형태의 피싱 및 파밍은 기업을 대상으로 한 공격의 첫 번째 단계다. 예를 들어 지난 2019년 한 에너지 기업의 영국 지사 CEO가 본사 CEO의 전화를 받고 헝가리 공급업체에 24만 3,000달러를 송금했던 사건이 있었다. 업계 전문가들은 향후 딥페이크가 맬웨어 패키지의 일부로 자리 잡을 것이라고 예상했다. 

딥페이크 식별을 위한 도구를 재정비해야 한다
아메리트레이드(Ameritrade)의 前 CTO이자 현재는 사이버 연구소 CTM 인사이트(CTM Insights)의 설립자인 루 스타인버그에 따르면 경영진이 돈을 송금하도록 설득하는 것 외에도 딥페이크는 다른 생체인식과 함께 오늘날 은행에서 흔하게 쓰는 음성 인증에 문제를 초래한다. 

그는 “생체인식은 범죄자가 조작할 수 있는 데이터의 또 다른 형태일 뿐”이라면서, “CT 스캐너의 이미지를 교체하여 스캔 이미지에 암을 숨기거나 추가하는 것을 봤다. 이를테면 악의적인 행위자가 ‘X 달러를 지불해야만 실제 CT 스캔 결과를 보여주겠다’라고 말하며 몸값을 요구하는 상황에 이를 사용할 수 있다”라고 전했다. 

따라서 ‘데이터 무결성’에 더욱더 초점을 맞출 필요가 있다고 스타인버그는 강조했다. “딥페이크는 AI로 생성되는데, 서명을 변경하기 위해 이미지를 약간만 수정하면 되기 때문에 기존의 서명 기술은 이를 따라갈 수 없다”라고 그는 지적했다. 

어도비(Adobe)는 기존의 보안 통제로는 소비자와 기업을 딥페이크에서 보호할 수 없다고 판단하고, 이미지 및 오디오 콘텐츠의 무결성 문제를 개발자 수준까지 해결하기 위한 CAI(Content Authenticity Initiative)를 시작했다.

CAI는 뷰어와 보안 도구가 이미지의 진위를 확인할 수 있도록 지원하는 개방형 표준을 마련했다. 이 이니셔티브에 700개 이상의 기업이 참여했다(USA 투데이, 가넷 뉴스 등의 미디어 업체, 게티 이미지 등의 스톡 이미지 제공업체, 니콘 등의 이미징 제품 회사 등).

前 가트너 애널리스트이자 현재는 라이온피쉬 테크놀로지 어드바이저(Lionfish Technology Advisors)의 고문인 브라이언 리드는 “딥페이크 문제는 어도비 CEO가 이미지 및 오디오 파일 뒤에 있는 콘텐츠 인증을 밀어붙일 정도로 중요하다. 이는 무언가가 진짜인지 아닌지 판독하는 딥러닝, AI 및 기타 기술을 포함하여 새로운 대응책이 얼마나 필요한지 보여주는 한 가지 예다”라고 말했다. 

스타인버그는 사기 감지를 할 때 거래 요청의 반대편에 있는 사람이 누구인지 증명하는 것보다 시스템에 무엇을 요청하는지 초점을 맞추기 시작한 금융 산업에서 힌트를 얻을 수 있다면서, “인증에 지나치게 집중하고 권한 부여에는 덜 집중한다. 만약 누군가가 제3세계의 알려지지 않은 실체에 수백만 달러를 송금할 권한이 없다면 해당 거래는 생체인증 사용 여부와 관계없이 자동으로 거절되고 보고된다”라고 설명했다. 

위조 생체인증
이어 스타인버그는 공격자가 생체인식 제어에 딥페이크를 사용하는 경우 트랜잭션에서 ‘누가(Who)’를 증명하는 것도 문제가 된다고 언급했다.

그에 의하면 생체인식 이미지와 해시(예: 얼굴, 홍채, 지문 등)는 생체인식 스캐너가 인증하는 특성과 일치할 수 있도록 AI 기반 딥페이크 기술로 조작할 수 있는 데이터다. AI를 사용하여 AI로 생성된 이미지를 식별할 수 있지만 대부분의 매칭 기술은 충분하게 세분화되지 않았거나 너무 세분화돼 단일 이미지를 스캔하는 게 번거롭다. 

얼루어 시큐리티(Allure Security)의 CEO 조시 샤울은 “CTM의 AI 기반 마이크로 매칭 기술을 확장해 매일 수만 개의 원본 브랜드 이미지(로 구성된) 데이터베이스와 1억 페이지를 스캔하여 변경 사항을 식별한다. 분석 및 탐지를 우회하도록 설계된 딥페이크를 식별하기 위해 AI 대 AI를 사용하고 있다”라면서, “가짜 이미지, 프로필 사진, 온라인 비디오, 웹3 스팟을 감지하는 기술을 개발하고 있다. 최근에는 메타버스 부동산과 관련한 몇몇 사칭을 조사했다”라고 전했다. 

힐만은 기업들이 내부적으로는 직원 및 경영진 그리고 외부적으로는 고객을 대상으로 교육을 실시하고 인식을 높여야 한다고 권고했다.

그는 “딥페이크와 관련해 이는 더 이상 만약의 경우가 아니라 언제든 일어날 문제다. 그리고 많은 기업이 딥페이크 공격을 방어할 전략을 갖추고 있지 않다는 것도 문제다”라며, “아웃리치 채널을 사용해 교육하라. 경영진 외부 감사를 수행하여 취약점을 확인하라. 통제를 감사하라. 그리고 위기관리에 대비하라”라고 말했다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.