보안

딥페이크를 이용한 소셜 엔지니어링 및 인증 위협 방법과 대응 방안

Michael Hill | CSO 2021.10.26
딥페이크(Deepfakes) 기술로 인해 기업의 사이버보안 위협이 증가하고 있다. 사이버 범죄자들은 사이버 공격과 사기에 사용할 합성 또는 조작된 디지털 콘텐츠(이미지, 동영상, 오디오, 문자 포함)를 만들기 위해 AI 및 머신러닝에 투자하고 있다.

이 콘텐츠는 인간과 자율적인 인식 수단을 속여 그들이 보고 듣고 읽는 것이 진실하고, 신뢰할 수 있다고 믿게 만드는 것을 목적으로, 외모, 음성, 버릇, 또는 어휘를 사실적으로 복제하거나 변경한 것이다.  
 
ⓒ Getty Images Bank

2021년 3월, 미 FBI는 기존 스피어 피싱 및 소셜 엔지니어링 캠페인의 연장선상에서 합성 또는 조작된 디지털 콘텐츠를 활용하는 악의적인 행위자들이 증가하고 있다고 경고했다. 이 공격자들이 사용하는 합성 매체의 정교함 때문에 심각한 영향을 미칠 수 있다고 덧붙였다. 기업은 증가하는 딥페이크 사이버 위협을 인식하고 이를 기반으로 한 사이버 공격과 사기를 방지하기 위한 조치를 취해야 한다.  


딥페이크 기술을 도입하는 사이버 범죄자 

ISF(Information Security Forum) 리서치 애널리스트 마크 워드는 “음란물이 IT 기술 도입을 주도한다고 종종 말해왔는데, 딥페이크가 처음 등장했을 때도 마찬가지였다. 이제 이 기술은 비외설적인 분야, 특히 조직화된 사이버 범죄 집단에서 인기를 끌고 있다”라고 말했다.
  
워드는 “현재 딥페이크를 이용한 공격은 소수에 불과하며, 전문 범죄집단이나 국가 주도의 공격 집단이 실행한 몇몇 성공적인 사용만 있을 뿐이다. 하지만 도구, 기술, 잠재적인 보상이 알려지면, 모든 기술이 그렇듯 확산될 것이다”라고 경고했다

이런 추세는 범죄자들이 딥페이크 노하우와 전문지식을 공유하는 지하 세계와 다크웹 포럼에서 이미 입증되고 있다. VM웨어 연구팀은 딥페이크 도구와 기술을 설명하는 다크웹 튜토리얼을 발견했는데, VM웨어 사이버보안 전략가인 릭 맥엘로이가 기업을 침해할 목적으로 협력하는 위협 행위자의 최신 사례 가운데 하나로 설명한 것이었다. 연구팀은 "위협 행위자들은 보안 조치를 우회하고 무력화하도록 설계된 시각 및 음성 딥페이크 기술을 통합한 맞춤형 서비스와 튜토리얼을 제공하기 위해 다크웹으로 눈을 돌렸다"라고 설명했다. 

 
딥페이크로 강화된 소셜 엔지니어링 

워드는 딥페이크 기술이 정교한 소셜 엔지니어링을 전문으로 하는 범죄 집단의 관심을 끌고 있다는 증거를 제시했다. 

이들 범죄 집단은 대기업의 재무, 회계 직원을 속여 사기꾼이 제어하는 계정으로 현금을 보내도록 하는 BEC(Business Email Compromise) 캠페인을 실행하고 있다. 워드는 현재 범죄 채팅방에서 논의되고 있는 도구는 동영상, 오디오, 블로그 게시물 등에서 고위 경영진의 공개 프로필을 캡처, 활용함으로써 설득력 있는 시뮬라크라(simulacra)를 생성한다고 말했다. 

사이퍼(Cyphere) 매니징 컨설턴트 하만 싱도 이에 동의하면서 "딥페이크 기술은 현금을 옮기거나 빨리 지불하라고 압박하는 데 사용될 것이고, 이런 사기 행위를 저지르기는 쉽고 방어하기는 어렵게 만들 것이다. 특히 딥페이크 오디오는 기업 데이터와 시스템 접근을 노리는 소셜 엔지니어링 공격에 효과적일 수 있다. 출장 중이거나 사무실을 비운 임원을 가장해 비밀번호를 재설정하거나 회사 자산에 접근할 수 있는 작업을 수행할 수 있다"라고 설명했다. 딥페이크는 누군가의 억양이나 말투 등을 재현해 추가적인 신뢰도를 제공한다. 

맥엘로이는 사이버 범죄자가 분산 근무 환경으로의 이전을 악용하면서, 이런 유형의 공격이 크게 증가했다고 말했다. CISO와 보안팀은 현재 딥페이크가 피싱 공격에 사용되거나 슬랙이나 마이크로소프트 팀즈와 같은 비즈니스 이메일 및 플랫폼을 해킹하는 데 사용되는 것을 목격하고 있다. 비즈니스 커뮤니케이션 플랫폼을 통한 피싱 캠페인에서 딥페이크는 기업과 사용자가 부지불식간에 믿게 만드는 이상적인 전달 메커니즘을 제공한다. 

 
생체 인증을 우회하도록 설계한 딥페이크 

딥페이크의 또 다른 용도는 생체 인증을 우회하는 것이다. 안면/음성 인식과 같은 생체 인증은 추가 보안 계층을 제공하고 고유한 특징에 따라 누군가의 신원을 자동으로 확인하는 데 사용된다. 그러나 이런 인증을 우회하기 위해 사람의 외모나 목소리를 정확하게 재현할 수 있는 기술은 ID 및 접근 관리 전략에 생체 인증을 이용하는 기업에 상당한 위험을 초래한다. 그래서 원격 근무가 확산되는 가운데 범죄자들이 딥페이크에 투자하고 있는 것이다. 
  
맥엘로이는 “펜데믹의 시작과 어디서나 일하는 시대로의 대규모 전환으로 인해 머신러닝 시스템은 강력한 복제본을 생성할 수 있는 풍부한 오디오 및 동영상 데이터를 생성하는 결과를 가져왔다"라고 경고했다. 

AI 기반 ID 기술업체인 온피도(Onfido) 사기 담당 부사장인 알버트 루는 딥페이크가 실제로 생체인식 기반 인증에 상당한 위험을 초래한다는 점을 인정했다. 

루는 "사이버 범죄자로부터 자사를 보호하기 위해 생체 인식을 활용하는 모든 기업은 딥페이크 공격에 취약할 수 있다. 사기꾼들은 톰 크루즈 딥페이크 동영상와 최근 코리더 디지털(Corridor Digital)과 같은 인기있는 유투브 크리에이터의 사례를 보고 딥페이크 도구와 코드 라이브러리를 활용해 온라인에서 신원 확인 검사를 우회할 수 있음을 깨달았다. 몇 가지 무료 오픈소스 애플리케이션과 기초적인 지식만으로도 딥페이크 동영상과 사진을 쉽게 만들 수 있다"라고 덧붙였다. 


딥페이크 사이버 위협에 대응한 방어 전략 

문자, 음성, 또는 동영상을 조작하는 딥페이크 기술을 이용해 사기꾼은 디지털 현실을 왜곡하고 혼란과 불확실성을 증대시킨다. 맥엘로이는 “현재 공격자의 손에 의해 불신과 왜곡이라는 새로운 현실에 진입하는 전환점에 서 있다”라고 진단했다. 

딥페이크 기반 공격으로 인한 위협은 지극히 위험해 보일 수 있지만, 기업에는 이를 방어할 수 있는 몇 가지 방어 수단이 있다. 교육과 훈련에서부터 첨단 기술 및 위협 인텔리전스에 이르기까지 다양하며, 모두 악성 딥페이크 활동의 위험에 대응하도록 설계됐다. 
 
워드는 직원들에게 딥페이크 소셜 엔지니어링 공격, 특히 표적 공격에 대해 가르치는 것이 위험을 완화하는 데 중요한 요소라고 말했다. 워드는 특히 재무 담당 직원에게 초점을 맞출 것을 조언했다. 

워드는 “재무 담당자에게 딥페이크의 가능성에 대해 경고하고, 의심스러운 경우 지불 프로세스를 늦출 수 있는 권한을 부여한다면 방어에 많은 도움이 될 수 있다. 늦춰진 지불 프로세스를 정밀 검사하면 공격자가 해당 기업에서 적용한 최신 변경 사항에 대해 빠르게 대처하지 않는 한 공격을 막을 수 있다"라고 설명했다. 

기술적인 관점에서 기업은 이런 징후를 보일 때 발견할 수 있는 분석 시스템의 수를 늘리고 있다. 워드는 마찬가지로 위협 인텔리전스는 기업이 표적이 되고 있는지, 특정 공격 그룹이 이 영역에서 활동하고 있는지를 파악하는 데 도움을 준다. 딥페이크 사기는 설정하고 실행하는 데 시간이 걸린다. 잠재적인 피해자가 경고 신호를 발견하고 대응할 시간이 될 수 있다. 

루는 인증 기술을 사용할 때 사용자 인증 지침을 무작위로 지정하면 효과적으로 방어할 수 있다고 말했다. 딥페이크 제작자들이 간단히 예측할 수 없는 수천 가지 가능한 요청이 있다. 기업은 반복적으로 잘못된 응답을 하는 사용자에 대해 추가 조사를 요청할 수 있다. 딥페이크는 필요한 처리 능력이 높아 빠른 반응을 유도하지 못하고, 실시간으로 조작할 수 있지만 영상 품질이 크게 저하된다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.