닫기

글로벌이코노믹

"얼굴 바꿔서 취업사기?"…딥페이크 악용한 보안위협 주의

글로벌이코노믹

ICT

공유
0

"얼굴 바꿔서 취업사기?"…딥페이크 악용한 보안위협 주의

랜섬웨어·BEC 공격에 사용…목소리도 모방 가능

최근 딥페이크를 이용한 사회공학적 공격이 증가하는 추세다. 딥페이크는 딥러닝과 가짜의 합성어이며 딥러닝을 기반으로 실제 같은 가상 정보를 만들어낼 수 있는 기술이다. 공격자들은 딥페이크를 악용해 사회공학적 공격을 더 정교하게 발전시키고 있어 관심과 주의가 필요하다.

현재 다양한 딥러닝 오픈소스가 인터넷 상에 공개돼 누구나 딥페이크 기술을 이용할 수 있다. 다크웹에서도 사회공학적 공격을 위한 딥페이크 도구가 활발하게 공유되고 있는 상황이다. 딥페이크는 인공지능(AI) 기술이 발전할 수록 더 정교해지고 현실적인 결과물을 만들어 내기 때문에 이를 이용한 보안 위협은 앞으로도 증가할 것으로 보인다.
이에 SK쉴더스의 화이트해커그룹 EQST(이큐스트, Experts Qualified Security Team)는 딥페이크 기술 악용으로 인해 발생할 수 있는 보안위협에 대해 분석했다.

최근 크립토윈터(Crypto Winter, 가상자산 시장 침체기)와 가상자산 관련 규제강화로 랜섬웨어 공격 조직은 수익이 감소하고 자금세탁에 어려움을 겪고 있는 상황이다. 이에 랜섬웨어 공격 조직들은 랜섬웨어에 제한하지 않고 다른 공격 기법을 병행하려는 움직임을 보이고 있다.
랜섬웨어 공격 조직이 다음 공격수단으로 이용할 것으로 전망되는 공격은 BEC(Business Email Compromise)다. BEC는 비즈니스 이메일, 업무 전화, 화상회의에서 특정 대상을 사칭해 금전을 탈취하는 사회공학적 공격이다. 예를 들어 특정 기업의 주요 거래처 직원을 사칭해 전화나 이메일로 거래 계좌가 변경됐다며 속이고 거래대금을 가로채는 것이다.

BEC 공격 예시. 사진=SK쉴더스이미지 확대보기
BEC 공격 예시. 사진=SK쉴더스

BEC 공격 역시 사회공학적 공격이기 때문에 딥페이크 기술이 적극적으로 활용되고 있다. 대상을 속이기 위한 이미지, 영상, 음성에 딥페이크가 사용되면 피해자는 사칭 여부를 판별하기가 매우 어려워진다.

올해 2월 미국 FBI는 최근 화상회의 플랫폼에서 CEO를 사칭하고 자금 이체를 요청하는 방식의 BEC 공격이 증가하고 있다고 경고한 바 있다. 공격자는 사전에 SNS, 영상, 오디오 등에서 데이터를 수집해 딥러닝 인공지능에 대상의 목소리를 학습하고 기업 화상회의에 위조된 이메일로 참여해 자금이체를 지시하는 식으로 금전적 이득을 취했다.

BEC는 기술적 취약점이 아닌 사람의 심리를 속이는 사회공학적 공격이기 때문에 내부 직원의 보안 교육 외에는 명확한 방어책이 없는 실정이다. EQST는 보안 교육에 사회공학적 공격에 대한 사기 범죄에 대응 훈련을 병행하고 이메일과 전화로 받는 요청을 이중삼중으로 확인하는 프로세스를 만들어야 BEC로 인한 피해를 최소화할 수 있다고 밝혔다.

또 딥페이크가 온라인 취업 사기에 악용되고 있어 사용자의 주의가 필요하다. 딥페이크 기술을 이용하면 타인의 얼굴이나 음성을 영상에 실시간으로 합성할 수 있기 때문에 공격자는 온라인 면접에서 위장된 신분으로 채용 담당자를 속일 수 있다.

실제로 북한의 IT 인력들이 온라인 면접에 딥페이크를 사용하여 거짓 신분으로 미국 기업과 기관에 취업을 시도한 사례가 적발됐다. 이에 FBI는 해커들이 유출된 개인정보와 딥페이크를 이용해 면접을 응시하는 경우가 증가하고 있다며 주의를 당부했다.

온라인 취업 사기 공격 방법. 사진=SK쉴더스이미지 확대보기
온라인 취업 사기 공격 방법. 사진=SK쉴더스

해커들은 주로 개인정보관리, 재무담당, 사내 IT 인프라 관리자와 같이 기업의 주요 정보에 쉽게 접근할 수 있는 직무를 지원했다. 취업이 성공하는 경우, 해커는 곧바로 기업의 주요 정보 접근권한을 갖게 되는 것이다.

미국의 경우 팬데믹으로 인해 대부분의 채용 절차를 비대면으로 진행하고 원격 근무가 도입된 기업이 많기 때문에 이러한 온라인 취업 사기가 활개 칠 수 있는 것으로 알려졌다. 국내의 경우 아직 온라인 취업사기 사례는 보고되지 않았으나 취업 면접을 비롯해 금융, 의료, 보험 등의 서비스가 비대면으로 전환되고 있는 추세이기 때문에 딥페이크를 이용한 공격에 노출될 가능성이 증가하고 있다. 특히 보험산업 분야의 경우 딥페이크로 인한 보험사기가 증가할 것을 우려하여 이에 대한 법안 마련과 기술적, 사회적 조치대응 마련을 촉구하고 있는 상황이다.

딥페이크는 공격자가 생체 인증을 우회하는 방법으로 사용될 수 있다. 외모나 목소리는 개인의 고유한 특성이기 때문에 개인을 식별할 수 있는 수단 중 하나로 쓰인다. 예를 들어 사람마다 발음, 억양, 속도, 성대특성, 비강구조가 다르기 때문에 목소리를 분석해 개인을 구분하고 특정할 수 있다. 하지만 딥페이크 기술을 악용할 경우 이러한 특성들은 쉽게 모방이 가능하다. 이와 같은 딥페이크 기반 신원 사기는 주로 금융, 보험 관련 사기에 악용되고 있다.

생체인증 우회는 PAD(Presentation Attack Detection) 기술이 적용된 인증 시스템을 사용하면 어느정도 방어가 가능하다. PAD는 머신러닝을 이용해 영상 속의 사람이 실제 사람인지 또는 딥페이크 소프트웨어를 사용하고 있는지 탐지한다.

딥페이크로 생성된 영상 정보는 기존 영상에서 볼 수 없는 특징을 가지고 있기 때문에 이러한 점을 이용하여 진위여부를 판별할 수 있다. 영상 속 사람이 움직일 때 부자연스러운 영상처리, 깜빡이지 않는 눈, 제대로 생성되지 않은 눈 또는 치아 등의 변수를 통해 딥페이크를 구분하는 것이다.

현재의 딥페이크 기술은 눈으로 보았을 때에도 이상한 점을 느낄 수 있을 정도로 아직 완성되지 않은 기술이다. 하지만 인공지능 기술이 발전함에 따라 점차 정교해지고 현실과 구분하기 어려워지고 있다. SK쉴더스 EQST는 "딥페이크 기술이 정교해질 수록 온라인 취업사기, BEC 등 사회공학적 공격은 심각한 사회적 문제로 떠오를 것"이라며 "오픈 소스로 공개된 기술이기 때문에 심각성을 인지하고 이에 대한 보안 대책을 마련할 필요가 있다"고 밝혔다.


김태형 글로벌이코노믹 기자 tadkim@g-enews.com