팔로알토 네트웍스, “딥페이크 스캠 기승 주의보”
2024년 09월 27일
트위터로 보내기페이스북으로 보내기구글플러스로 보내기

최근 국내에서 딥페이크 성범죄가 기승을 부리고 있는 가운데 전세계 곳곳에서도 딥페이크 스캠 및 피싱 공격이 대대적으로 발생하고 있는 것으로 나타났다. 팔로알토 네트웍스(Palo Alto Networks)는 CEO, 뉴스앵커, 고위 공무원 등 다양한 유명인의 모습을 한 딥페이크 스캠(사기) 영상이 기승을 부리고 있다며 각별한 주의가 필요하다고 밝혔다. 이러한 딥페이크 영상은 주로 허위 투자 계획 및 정부 지원금 등을 미끼로 타깃을 노리는 방식이다.


팔로알토 네트웍스의 위협 연구조직 유닛42(Unit42)는 이러한 캠페인에 사용되는 수백 개의 도메인을 발견했으며, 자사의 패시브 DNS 원격 진단에 따르면 각 도메인은 서비스 개시 이후 전세계적으로 평균 114,000회 접속된 것으로 분석됐다. 시작된 시점은 약 1년전이지만 올해 2월 새롭게 발견된 도메인이 급증했으며, 일반적인 피싱 및 멀웨어 도메인과 달리 평균 활성 시간이 142일로 비교적 수명이 긴 편인 것으로 나타났다.


d5a43d05bee2520a631d65c1201f86cd_1727376977_2156.png
 

유닛42는 퀀텀 AI(Quantum AI) 라는 투자 계획을 홍보하는 캠페인부터 시작하여 이 캠페인의 배후 인프라를 조사하고, 시간 경과에 따른 확산 추이를 추적했다. 이 인프라 조사를 통해 동일한 위협 행위자 그룹이 캠페인을 만들고 퍼트리는 과정에서 완전히 다른 주제를 활용하는 여러 개의 추가 딥페이크 캠페인이 발견됐다.


비디오 분석 파이프라인과 인프라 기반 조사 결과 위조 웹사이트는 새로운 도메인에서 호스팅 되는 방식이고, 대부분의 경우 공격자는 합법적인 동영상으로 시작한 후 자체적으로 생성한 AI 오디오를 추가했다. 립싱크 형식으로 AI가 생성한 오디오에 맞춰 화자의 입술 움직임을 수정하는 작업이 사용됐다. 일론 머스크와 같은 유명 기업인은 물론 시사 평론가, 각국 전임 장관을 비롯해 싱가포르 현직 대통령 영상도 발견됐다.


호스팅 인프라 분석 결과 공유 호스팅 인프라에서 위장을 시도하는 추세이며, 이러한 캠페인 도메인의 86.7%가 동일한 주요 콘텐츠 전송 네트워크(CDN)를 사용하고 있다. 미국, 네덜란드, 러시아가 상위 3개 지역으로, CDN의 여러 IP 주소가 서로 다른 지리적 위치에서 동일한 콘텐츠를 호스팅하고 있는데, CDN을 활용하면 특정 위협 행위자나 지리적 위치로 캠페인을 귀속시키기 어렵기 때문이다. 


딥페이크 영상을 통해 피해자가 위조된 랜딩 페이지를 방문하면 플랫폼에 가입하기 위한 양식을 작성하게끔 하고, 사기 조직에서 피해자에게 연락을 취해 플랫폼에 액세스하기 위한 비용을 요구한다. 또 더 많은 자금을 '투자'할 수 있도록 특별한 앱을 다운로드하라고 권유해 수익이 표시되는 대시보드를 제공한다. 이후 피해자에게 계속해서 더 많은 돈을 입금하도록 설득하고, 신뢰를 얻기 위해 피해자가 소액을 인출하도록 허용하기도 한다.


피해자가 마지막으로 자금을 인출하려고 하면 사기범은 인출 수수료를 요구하거나 다른 이유(예: 세금 문제)를 들어 자금을 돌려받을 수 없다고 말하며 피해자의 계좌를 잠그고 남은 자금을 빼돌려 피해자가 ‘플랫폼’에 투자한 금액의 대부분을 잃게 만드는 것으로 나타났다.


이 같은 방식의 퀀텀 AI 캠페인뿐만 아니라 다양한 딥페이크 피해 사례가 보고되고 있다. 2024년 초, 한 회사는 딥페이크 기술을 사용하여 화상 회의 통화에서 최고 재무 책임자를 사칭한 공격자에게 2,500만 달러의 손실을 입었다. 또한 미국 대선과 더불어 다양한 국가에 중요한 선거가 실시되는 상황에서 연구자들은 딥페이크가 정치적 허위 정보를 조장할 가능성에 대한 우려를 제기하고 있다.


이와 더불어 각종 소셜 미디어 및 인스턴트 메시징 플랫폼에서 딥페이크 도구 및 제작 서비스를 판매하는 ‘서비스로서의 딥페이크’ 관련 범죄 생태계도 활성화되고 있는 상황이다. 이러한 제작 도구로 사용된 콘텐츠는 ▲가짜 신원 생성, ▲금융 사기, ▲타깃에 맞춘 허위 정보 제공, ▲사용자 인증 방식 우회, ▲암호화폐 도용 등 다양한 활동에 사용되고 있다.


딥페이크 스캠에는 생성형 AI 기술이 사용되지만 위협 행위자가 활용하는 호스팅 인프라를 식별하는 조사 기법으로도 유효한 결과를 얻을 수 있다. 팔로알토 네트웍스는 ‘어드밴스드 URL 필터링(Advanced URL Filtering)’ 기능을 사용하는 고객들은 스캠에 사용되는 웹사이트를 지속적으로 탐지하고 차단함으로써 안전하게 보호되고 있다고 밝혔다. 


팔로알토 네트웍스 연구원들은 이러한 딥페이크 기반 스캠을 지속적으로 모니터링하고 추가적인 캠페인이 발생하는지 지속적으로 조사할 계획이다. 또한 어드밴스드 URL 필터링(Advanced URL Filtering)을 통해 고객이 안전하게 보호될 수 있도록 면밀하게 지원을 제공한다. 


박상규 팔로알토 네트웍스 코리아 대표는 “딥페이크 스캠에 대한 우려가 지속적으로 지적되어 왔으나 본격적인 피해사례가 등장하고 있는 만큼 신속하고 확실한 대응이 필요한 시점이다. 특히 웹 기반 공격이 크게 증가하고 있어 모든 트래픽에 대한 가시성을 확보하고, 사각지대 없는 보안 태세를 구축하는 것이 중요하다”고 말했다.

그래픽 / 영상
많이 본 뉴스