딥페이크 활용한 사이버 사기 공격, 한 기업으로부터 3500만 달러 빼앗아

3500만 달러가 한 UAE 기업에서 사라졌다. 공격자들이 한 임원의 목소리로 직원에게 전화를 걸어 송금을 지시했기 때문이다. 임원의 목소리를 흉내 낸 건 다름 아니라 딥페이크라는 인공지능 기술. 딥페이크가 BEC 공격에 활용된 사례가 벌써 두 건이나 누적됐다.

한 사기단이 딥페이크 오디오를 사용해 UAE의 한 기업으로부터 3500만 달러를 가져가는 데 성공했다. 이들은 회사의 임원으로 가장하여 회사 인수에 필요한 돈을 송금하라고 직원들을 속였고, 가짜 목소리에 직원들은 깜빡 속았다고 한다.

[이미지 = utoimage]

공격자들이 집중적으로 노린 건 한 지사의 관리자였다. 먼저는 현재 진행되고 있는 M&A를 담당하는 회사 임원과 미국 변호사를 사칭하는 이메일을 보냈다. 그러고는 딥페이크 기술로 만든 음성을 통해 추가 사기 공격을 이어갔다. 인공신경망 기술을 활용해 해당 관리자가 속을 만큼 그럴듯한 목소리를 생성한 것이다. 딥페이크 음성 기술이 사이버 사기 범죄에 사용된 건 두 번째 일이다.

딥페이크 기술은 사이버 범죄자들이 앞으로 적극 활용할 것으로 전망된다. 딥페이크로 만든 영상은 아직 미묘하게 이상한 점이 감지가 되는데, 음성은 실제와 꽤나 유사하게 생성되는 것이 지금의 기술 수준이다. 보안 업체 카토 네트웍스(Cato Networks)의 수석 국장인 에타이 마오르(Etay Maor)는 “이미 딥페이크 음성 생성을 가능하게 하는 오픈소스 도구들도 많이 나와 있는 상태”라고 말한다.

“사이버 범죄자들의 목적은 돈입니다. 돈이 되는 것이라면 이들은 어떠한 신기술도 거침없이 공부하고 사용합니다. 딥페이크 기술이 이런 대대적인 사기술에 활용되는 게 반복되면 마침 오픈소스 도구들도 있으니 공격자들로서는 사용을 망설일 이유가 없습니다. 영상은 아직 불완전하지만 음성 딥페이크 기술은 충분히 발전된 상태고 사용하기도 어렵지 않습니다.”

2019년에도 한 독일 회사의 영국 지사의 관리자가 딥페이크에 속아 약 25만 달러의 돈을 잃은 적이 있다. 공격자들은 독일 CEO의 목소리를 딥페이크 기술로 생성했고, 이를 통해 긴급 송금을 지사장에게 명령했다. 공격자는 첫 번째 성공을 맛보고 이틀 뒤 다시 한 번 같은 직원에게 전화를 걸었다. 그리고 10만 달러를 추가로 송금하라고 지시했다. 하지만 영국 지사장은 뭔가 수상하다는 걸 알아차렸고, 추가 도난은 막을 수 있었다.

마오르는 딥페이크를 활용한 성공적인 공격 사례 2건에 대해 “결국 신뢰와 관련된 사건”이라고 말한다. “아는 사람으로 가장한 누군가가 돈을 달라고 이메일을 보내는 것과 전화를 직접 거는 건 당하는 사람 입장에서는 완전히 다른 사건입니다. 텍스트보다 음성에 더 많은 정보가 담기기 때문이죠. 목소리의 색깔, 어조, 어투 등 말하는 내용 외에 다른 정보들이 더 존재합니다. 그런 정보들까지도 원본과 흡사하다면 신뢰할 확률이 높아지죠. 누구라도 속을 수밖에 없습니다.”

마오르는 딥페이크가 이렇게 보편화 되고 있는 때에 모든 환경에서 제로트러스트를 도입할 수밖에 없다고 주장한다. “심지어 오래된 기술인 전화 통화에조차 말이죠. 신기술이나 최신 기술과 관련된 요소에만 도입할 게 아닙니다. 우리의 모든 상황과 환경에서 ‘확인하고 믿으라’는 문화가 정착해야 합니다.”

딥페이크가 처음 등장했을 때 전문가들은 정치 캠페인들에 악용될 것을 걱정했다. 상대편 정치인의 얼굴과 음성을 똑같이 가진 가짜 영상을 만들어 하지도 않은 말을 유포함으로써 파장을 일으킬 것을 걱정했다는 뜻이다. 또한 유명 배우들의 얼굴을 가지고 가짜 포르노 영상을 만드는 것도 일부 위험한 시나리오로서 제기되었다. 아직 이 두 가지 경우 모두 공식적으로 알려진 사건은 없다. 딥페이크 기술이 아직은 조금 불완전하기 때문이다.

그러나 그 기술적 부족함은 빠르게 메워지는 중이다. 마오르는 “지금은 5분짜리 샘플 오디오만 있으면 합성된 음성을 만들 수 있다”고 말한다. “그러나 아직 반대되는 의견들도 있긴 합니다. 적어도 2~3시간짜리 샘플이 있어야 그럴 듯한 딥페이크 음성이 나온다고 하시는 전문가들도 있어요. 그런데 이건 딥페이크 음성의 완성도를 어떻게 판단하느냐에 따른 견해 차이이기도 합니다. 전화기를 통해 전달되는 음성의 경우 대단히 높은 완성도를 요구하지 않죠.”

심지어 2~3시간짜리 샘플이 필요한 게 현재 상황이라고 하더라도 크게 문제될 것은 없다. 인터넷 강연이나 매체 인터뷰 등을 통해 음성 샘플을 구하는 게 어렵지 않기 때문이다. 유명 기업 임원진의 경우 초빙 강연을 하는 경우가 생각보다 빈번하다. “샘플이 될 만한 데이터는 계속 인터넷 상에 누적되고 있습니다. 딥페이크를 활용한 공격이 활성화되기 위한 조건들이 차근차근 갖춰져 가고 있다고도 볼 수 있죠.”

그렇다면 기업들은 이런 딥페이크 공격에 대하여 어떤 방어 태세를 취해야 할까? 마오르는 “인증 절차를 강화해야 한다”고 말한다. “특히 지금은 BEC 공격에 딥페이크가 적용되는 경우가 많습니다. 그렇다면 돈을 송금하는 공식 절차를 조금 더 복잡하게 만들어야 합니다. 좀 더 많은 사람이 확인과 결재를 하도록 말이죠. 아무리 높은 사람이라도 전화 한 통으로 송금을 요구할 수 없도록 하는 업무 프로세스가 딥페이크를 막을 수 있습니다.”

3줄 요약
1. 딥페이크 활용한 두 번째 BEC 공격이 성공함.
2. 피해 기업은 이 공격으로 3500만 달러를 잃음.
3. 송금 절차를 조금 더 탄탄히 다듬는 것이 유일한 방어법.

---

출처 URL : https://www.boannews.com/media/view.asp?idx=101772

이 게시글이 문제가 될 시, 삭제하겠습니다.