Africa

Americas

Asia

Europe

Oceania

인기 토픽

토픽

About

정책

네트워크

자세히 보기

Grant Gross
By
Senior Writer

낯익은 얼굴로 다가오는 낯선 공격··· 비즈니스 분야에 ‘딥페이크’가 온다

기획
2024.06.176분
미래기술IT 운영보안

AI 기반 딥페이크 기술이 빠르게 발전하고 있는 가운데, 사이버 범죄자들이 이를 활용할 수 있는 비즈니스 모델을 찾는 것은 그저 시간 문제라는

사이버 범죄자들이 딥페이크를 쉽게 돈을 벌 수 있는 새로운 수단으로 인식하고 있으며, 이에 따라 이미 연예 및 정치 분야에서 골칫거리로 부상한 딥페이크가 조만간 기업 세계에서도 확산될 가능성이 유력하다.

사이버 보안 및 IT 컨설턴트인 마이클 하스는 CIO, CISO 및 기타 기업 리더들이 실제와 같은 가짜 음성 통화, 비디오 클립 및 실시간 화상 회의 통화를 사용하는 AI 지원 공격에 대비해야 한다고 강조하는 인물이다. 

그에 따르면 음성 통화와 관련된 딥페이크는 예전부터 있었다. 하스는 자신 또한 2015년 일부 기업이 음성 기반 사기의 피해를 입은 후 자산 관리 회사들이 이에 대한 사내 교육을 진행했던 바 있다고 전했다.

하지만 2015년 이후 딥페이크에 사용되는 AI 기반 기술은 비약적으로 발전했을 뿐만 아니라 접근 문턱도 크게 낮아졌다. 지금까지는 사이버 쉽게 가짜 오디오와 비디오를 만들 수 있는 패키지형 도구가 없었다. 하지만 이러한 딥페이크 패키지가 곧 출시될 예정이며, 11월 미국 대선 전에 범죄 조직들이 정치 캠페인에서 우선 사용하기 시작할 가능성이 높다고 그는 전망했다.

하스는 “필요한 모든 것이 다 들어 있다. 이제야 등장하는 유일한 이유는 악당들이 이런 것들을 통합하는 데 시간이 걸렸기 때문”이라고 말했다.

신용 리스크로서의 딥페이크
딥페이크로 인한 비즈니스 위험성을 경고하는 목소리는 사이버 보안 외의 영역에서도 나오고 있다. 지난 5월 신용평가사 무디스는 딥페이크가 새로운 신용 위험을 야기한다며 딥페이크에 대한 경고를 발표했다. 무디스의 보고서는 지난 2년 동안 금융권을 노린 가짜 화상 통화를 포함한 몇 가지 딥페이크 사기 시도에 대해 자세히 설명하고 있다.

보고서는 “금융 분야에서 딥페이크 사기가 주요 위협으로 빠르게 부상하고 있다. 딥페이크를 활용해 은행 관계자, 회사 임원 또는 정부 관료의 사기 동영상을 제작함으로써 사기 금융 거래를 유도할 수 있다”라고 기술하고 있다.

사이버 보안 연구 및 자문 기업 IANSW 리서치의 제이크 윌리엄스 교수에 따르면, 딥페이크 사기가 이미 발생하고 있지만 그 규모를 추정하기는 어려운 상태다. 어떤 경우에는 평판을 위해 피해자가 사기를 신고하지 않는 경우도 있고, 다른 유형에 피해를 입은 조직이 모종의 이유로 딥페이크 탓을 하는 경우도 있다는 설명이다.

딥페이크에 대한 또다른 분석으로는 기술적 방어가 까다롭다는 것이 있다. 가령 딥페이크를 탐지 도구가 직원들의 모든 통화를 감청한다면 문제가 될 것이다. 또 관련 AI 기술이 빠르게 발전하고 있기 때문에 도입한 딥페이크 탐지 도구가 빠르게 무용지물이 될 수도 있다.

미국 국가안보국의 전직 해커이기도 했던 윌리엄스 교수는 “효과적인 탐지 도구가 없기 때문에 측정하기 어렵고, 앞으로도 그럴 것이다. 시간이 지날수록 추적하기가 더 어려워질 가능성이 크다”라고 말했다.

그에 따르면 고품질 딥페이크 기술이 대중화됐다고 할 수 없는 상태지만 저대역폭 화상 통화용 음성이나 이미지를 위조하기란 이미 쉽다. 줌 미팅의 화질이 HD급 이상인 경우가 아니면, 얼굴을 바꾸는 만으로도 대부분의 사람들을 속일 수 있다고 윌리엄스는 덧붙였다.

“당신은 내 어드민 비서가 아니다”
다단계 인증 공급업체 토큰의 회장인 케빈 서레이스는 음성 기반 딥페이크의 위험성을 직접 경험한 인물이다. 그는 최근 토큰(Token)의 투자자 중 한 명의 어드민 비서가 보낸 이메일을 받은 즉시, 피싱 사기임을 알아챘다.

서레이스는 어드민 비서에게 전화를 걸어 그녀의 계정에서 피싱 이메일이 전송되고 있다고 경고했는데, 통화 상대방의 목소리가 그 직원의 목소리와 같았다. 그러나 통화 도중 상대방의 목소리가 이상하게 반응하기 시작했으며, 이에 그는 동료에 대해 물었지만 그 목소리는 동료의 이름을 인식하지 못했다. 

알고 보니 피싱 이메일에 포함된 전화번호는 행정 보조원의 실제 전화번호와 한 자리가 틀린 것이었다. 이 가짜 전화번호는 서레이스가 문제를 감지한 지 몇 시간 후에 작동을 멈췄다.

1990년대 제너럴 매직의 포티코를 개발해 가상 비서의 아버지로 불리는 서레이스는 목소리를 위조하려는 범죄자들에게는 이제 단 몇 초의 녹음 데이터만 있으면 되며, 사실적인 라이브 비디오 딥페이크 제작 기술 또한 빠르게 발전하고 있다고 전했다.

그는 “일반 사용자 입장에서는 ‘말도 안 돼’라는 현실이 펼쳐질 터다. 이미 몇 명에게 이런 일이 일어났다. 앞으로 이를 경험하는 이들이 300명이 되고, 3,000명이 될 것”이라고 말했다.

지금까지 기업 세계를 노린 딥페이크는 대개 직원을 속여 범죄자에게 돈을 이체하도록 하는 양상이었다. 하지만 앞으로는 협박 사기나 주가 조작에도 사용될 수 있다. 가령 협박 금액이 그리 높지 않다면, CEO나 다른 피해자들이 번거롭게 해명하는 대신 소액을 지불하기로 결정할 수 있다고 서레이스는 설명했다. 

서레이스 또한 딥페이크가 곧 유행할 것으로 전망하며, 자신을 노린 것과 같은 사기 시도가 이미 많이 시도되고 있다고 전했다. “사람들은 이런 일이 일어나고 있다는 사실을 아무에게도 말하지 않으려 한다. 1만 달러를 지불하고도 ‘언론에 알리고 싶지 않은 일’이라며 그냥 숨기곤 한다”라고 그는 말했다. 

하스는 딥페이크의 광범위한 사용이 가까워졌지만 사용하기 쉬운 딥페이크 패키지의 부재 외에도 몇 가지 장벽이 남아 있다고 진단했다. 먼저 소규모 범죄자들에게는 부담스러운 수준의 컴퓨팅 성능을 필요로 할 수 있다. 또 딥페이크 사기는 웨일 피싱(whale phishing )처럼 특정 표적을 노리고 작동하는 경향이 있기에 공격 준비에 걸리는 시간이 적지 않다는 설명이다.

-> ‘나 사장인데…’ 웨일링 사기 이메일 사례들
그러나 한편으로는 잠재적 피해자들은 소셜 미디어에 자신의 삶에 대한 풍부한 정보를 제공하고 있기도 하다. 하스는 “악의적인 범죄자들에게는 아직 피해자 데이터를 수집하고 충분히 자동화된 방식으로 딥페이크를 생성할 수 있는 효과적인 방법이 없다. 그러나 이 또한 곧 실현될 수 있다”라고 말했다.

쉬운 해결책이 없다
더 많은 딥페이크 사기가 기업 세계에 등장할 것으로 예상되는 가운데, 관건은 이 증가하는 위협에 어떻게 대처할 것인가다. 딥페이크 기술이 계속 발전하고 있기 때문에 쉬운 해답은 존재하지 않다.

하스는 인식 제고와 직원 교육이 중요하다고 본다. 직원과 경영진이 잠재적인 딥페이크 사기에 대해 인지하고 있어야 하며, 회사 내부자가 영상 통화 중이라도 의심스러운 작업을 요청하면 다시 확인할 필요가 있다. 다시 전화를 걸거나 대면 대화를 통해 요청을 확인하는 것은 구식 다단계 인증 방식이지만 효과가 있다고 그는 설명했다.

그에 따르면 약 10년 전 자산 관리 업계에서 보이스피싱 사기가 처음 발생하기 시작했을 때, 업계 전문가들은 고객을 파악하는 방법을 변경했던 바 있다. 신원 확인을 위해 고객과의 대화를 가족, 취미, 기타 개인 정보 등으로부터 시작했던 것이다.

하스는 잠재적 피해자들이 소셜 미디어에 의도적으로 거짓말을 기입해 딥페이크 공격을 피하는 관행이 등장할 수 있다며, “언젠가는 회사 내에서 특정 역할에 대해 실제로 그런 것이 요구할 수도 있다. 충분히 큰 기업에서 충분히 민감한 역할을 맡고 있다면 소셜 미디어 담당자가 모든 계정을 감시하는 수준의 감시가 있을 수도 있을 것”이라고 말했다. 

서레이스는 CIO, CISO 및 기타 회사 임원들은 이러한 위협을 인식하고 자신들이 표적이 될 수 있다는 사실을 깨달아야 한다고 덧붙다. 

그는 또 차세대 MFA 제품이 딥페이크 사기를 방어하는 데 도움이 될 수 있다고 강조하며, 차세대 MFA는 직원들이 줌 미팅에 로그인할 때마다 빠르고 안전하게 신원을 확인할 수 있어야 할 것이라고 말했다. 

그러나 IANS의 윌리엄스는 새로운 기술이나 직원 교육이 효과적인 해결책이 될 수 있을지 의구심을 가지고 있다. 일부 사람들은 새로운 인증 장치 사용을 거부할 것이며, 사이버 보안 교육은 한계를 보이곤 했다는 이야기다. 

대신 회사는 직원들이 거액을 이체할 때 보안 애플리케이션을 사용하는 등의 프로세스를 마련할 수 있다고 그는 덧붙였다. 

그는 이어 인증을 위해 음성과 이미지를 사용해온 수백 년의 시기가 이제 끝나가고 있음을 인정해야 한다고 강조했다. “보안의 관점에서 보면 누군가의 목소리나 모습을 보고 믿을 수 있는 시대가 끝났다. 기술이 인류의 오랜 관행을 넘어서고 있다”라고 말했다.

dl-ciokorea@foundryco.com

Grant Gross
By
Senior Writer

Grant Gross, a senior writer at CIO, is a long-time IT journalist who has focused on AI, enterprise technology, and tech policy. He previously served as Washington, D.C., correspondent and later senior editor at IDG News Service. Earlier in his career, he was managing editor at Linux.com and news editor at tech careers site Techies.com. As a tech policy expert, he has appeared on C-SPAN and the giant NTN24 Spanish-language cable news network. In the distant past, he worked as a reporter and editor at newspapers in Minnesota and the Dakotas. A finalist for Best Range of Work by a Single Author for both the Eddie Awards and the Neal Awards, Grant was recently recognized with an ASBPE Regional Silver award for his article “Agentic AI: Decisive, operational AI arrives in business.”

이 저자의 추가 콘텐츠

추천 콘텐츠

뉴스

“아태지역 AI 도입 본격화…ROI 실현 위한 전략 필요” 델 테크놀로지스

By 편집부
6분
인공지능생성형 AI기술 업계 동향
이미지
기획

“개발자 번아웃, 개인 아닌 구조의 문제”···자율성·몰입·협업으로 푸는 3가지 해법

By Bob Violino
6분
인공지능개발자기술 산업
이미지
오피니언

시스코, 9% 보안 사업 성장률 뒤에 숨겨진 진짜 전략

By Zeus Kerravala
6분
네트워크 보안네트워크SASE
이미지