최근 국내에서 딥페이크 성범죄가 수면 위로 떠오르는 가운데 전 세계적으로 딥페이크 스캠 및 피싱 공격이 지속적으로 발생하고 있다.
팔로알토 네트웍스는 CEO, 뉴스앵커, 고위 공무원 등 다양한 유명인의 모습을 한 딥페이크 스캠 영상이 기승을 부리고 있다며 각별한 주의를 요했다. 이러한 딥페이크 영상은 주로 허위 투자 계획 및 정부 지원금 등을 미끼로 타깃을 노린다.
팔로알토 네트웍스의 위협 연구조직 유닛42는 이러한 경우에 사용되는 도메인을 수백 개 발견했다. 자사 패시브 DNS 원격 진단에 따르면 각 도메인은 서비스 개시 이후 세계적으로 평균 11만4000회 접속됐다. 이는 일반적인 피싱 및 멀웨어 도메인과 달리 평균 활성 시간이 142일로 비교적 수명이 긴 편으로 드러났다.
비디오 분석 파이프라인과 인프라 기반 조사 결과 위조 웹사이트는 새로운 도메인에서 호스팅 되는 방식이다. 공격자는 합법적인 동영상으로 시작한 후 자체적으로 생성한 AI 오디오를 추가했다. 립싱크 형식으로 AI가 생성한 오디오에 맞춰 화자의 입술 움직임을 수정하는 작업이 사용됐다. 일론 머스크와 같은 유명 기업인을 비롯해 시사 평론가, 각국 전임 장관이나 싱가포르 현직 대통령 영상도 발견됐다.
호스팅 인프라 분석 결과 공유 호스팅 인프라에서 위장을 시도하는 추세이며, 이러한 캠페인 도메인 86.7%가 동일한 주요 콘텐츠 전송 네트워크를 사용했다. 미국, 네덜란드, 러시아가 상위 3개 지역으로, CDN의 여러 IP 주소가 서로 다른 지리적 위치에서 동일한 콘텐츠를 호스팅하고 있었다. 이는 CDN을 활용하면 특정 위협 행위자나 지리적 위치로 캠페인을 귀속시키기 어렵기 때문이다.
딥페이크 영상을 보고 피해자가 위조된 랜딩 페이지를 방문하면 플랫폼에 가입 양식을 작성하게끔 하고, 사기 조직에서 피해자에게 연락해 플랫폼에 액세스하기 위한 비용을 요구한다. 또 더 많은 자금을 투자하도록 앱 다운로드를 권유해 수익이 표시되는 대시보드를 제공한다. 이후 피해자에게 계속해서 더 많은 돈을 입금하도록 설득하고, 신뢰를 얻기 위해 피해자가 소액을 인출하도록 허용하기도 한다. 피해자가 마지막으로 자금을 인출하려고 할 때 사기범은 인출 수수료를 요구하거나 세금 문제와 같은 다른 이유를 들어 자금을 돌려받을 수 없다고 말하며 피해자 계좌를 잠그고 남은 자금을 빼돌려 피해자가 플랫폼에 투자한 금액의 대부분을 잃게 만든다.
딥페이크 도구 및 제작 서비스를 판매하는 딥페이크 관련 범죄 생태계도 활성화되고 있다. 이러한 제작 도구로 사용된 콘텐츠는 ‘가짜 신원 생성’, ‘금융 사기’, ‘타깃에 맞춘 허위 정보 제공’, ‘사용자 인증 방식 우회’, ‘암호화폐 도용’ 등에 사용된다.
이에 팔로알토 네트웍스 코리아는 사이버 보안 침해를 우려하는 국내 고객에게 ‘유닛42 인시던트 대응 리테이너’ 오퍼링을 무료로 제공한다. 자격 조건에 해당하는 고객은 팔로알토 네트웍스의 인테리전스 기반 연구원으로 구성된 유닛42 조직으로부터 250시간의 인시던트 대응 서비스와 2시간의 대응 시간 계약을 요청할 수 있다.
박상규 팔로알토 네트웍스 코리아 대표는 “본격적인 딥페이크 스캠 피해사례가 등장하고 있는 만큼 신속하고 확실한 대응이 필요한 시점”이라며 “특히 웹 기반 공격이 크게 증가하고 있어 모든 트래픽에 대한 가시성을 확보하고, 사각지대 없는 보안 태세를 구축하는 것이 중요하다”고 전했다.
헬로티 구서경 기자 |
