‘긴급 입금’ 요청한 사장님 통화 목소리, 실은 ‘가짜’?··· 기업 겨냥 딥페이크 공격 확산

Posted by:

|

On:

|

딜로이트가 웨비나에서 밝힌 지난 5월 1,100명 이상의 기업 경영진을 대상으로 실시한 설문 조사에 따르면, 범죄자들이 이제 기업의 재무 데이터를 겨냥해 딥페이크 공격을 시도하는 경우가 많아졌다. 딥페이크 공격이 구체화되고 있다는 뜻이다. 조사 결과에 따르면 딥페이크 범죄는 전체 기업 중 4분의 1 이상을 표적으로 삼고 있다.

조사에 참여한 경영진의 약 15%는 사이버 범죄자들이 지난 1년 동안 딥페이크를 통해 자사의 재무 또는 회계 데이터를 공격한 적이 있다고 답했으며, 11%는 여러 번의 딥페이크 사기를 경험했다고 밝혔다. 설문에 참여한 나머지 임원 중 약 절반은 자신의 조직이 딥페이크 사기의 표적이 되었는지 모르거나 해당 사항이 없다고 답했다.

딜로이트 트랜잭션 및 비즈니스 애널리틱스의 대표이자 글로벌 기업 신뢰 리더인 마이클 본다르는 금융 데이터(재무, 세무, 기밀 데이터 등)를 노리는 딥페이크 사기가 비교적 최근에 등장했기 때문에 피해 조직의 수가 제대로 보고되지 않았을 가능성이 있다고 설명했다. 본다르는 “우리는 완전히 새로운 가능성의 영역에 대해 이야기하고 있다”며 “이런 사건이 발생하면 조직들은 이를 크게 공표하지 않으려는 경향이 있다”고 전했다.

증가하는 딥페이크 공격

설문조사에 참여한 응답자의 절반 이상이 내년에 딥페이크를 이용한 금융 사기가 증가할 것으로 예상했다. 경영진은 딥페이크 사기에 대응하기 위해 직원들과 소통하고, 교육을 제공하며, 새로운 정책을 수립하거나 새로운 기술을 도입하고 있다고 답했다.

그러나 약 10%는 회사가 아무런 대응도 하고 있지 않다고 답했으며, 설문에 참여한 임원 중 약 3분의 1은 회사의 대응 방안을 모르거나 해당 사항이 없다고 응답했다.

딜로이트 재무 자문 서비스의 상무이사이자 디지털 포렌식 리더인 마이크 웨일은 딥페이크 음성 통화가 점점 더 보편화되고 있으며, 딥페이크 화상 회의도 발생하고 있다고 언급했다. 웨일은 직원이 영상 통화에서 CFO의 목소리를 듣거나 CEO를 보게 되면 대부분 의심 없이 지시를 따르게 된다고 지적했다.

웨일은 “딥페이크 공격은 소셜 엔지니어링에서 더 진화한 형태다”라며 “딥페이크 공격을 받은 직원은 실시간으로 통화하며 해당 직원만 알고 있는 정보를 들을 수 있다”고 설명했다. 또한 “딥페이크 공격자는 매우 그럴듯하게 대화를 이어간다”고 덧붙였다.

웨일은 또한 범죄자들이 음성 또는 영상 통화를 딥페이크할 때 상대방이 쉽게 속을 수 있도록 조직에 대한 광범위한 기본 조사를 점점 더 많이 하게 될 것이라고 언급했다. 그는 “딥페이크 공격에서는 기본적으로 피해자의 정보를 사전에 확보하는 과정이 포함된다. 매우 치밀하고 정교한 공격이다”라며 “딥페이크 공격은 무작위로 공격 대상을 찾아서 이뤄지지 않는다. 공격자는 미리 조직 내부의 약점을 찾으며, 그 과정에서 조직에서 돈을 빼내 가려 한다”고 강조했다.

심층적인 방어가 필요하다

본다르와 웨일은 딥페이크 공격에 대한 방어는 여러 겹의 방어체계를 구축하는 것이 중요하다고 밝혔다. 직원 교육과 훈련이 중요하며, 경영진이 거액의 자금 이체와 같은 활동에 대해 내부 프로세스를 정확하게 따르도록 하는 것도 중요하다고 설명했다. 또한, 조직은 내부 모의훈련을 실시하여 직원들이 어떻게 딥페이크 사기에 빠질 수 있는지 점검해야 한다고 제안했다.

마지막으로, 일부 공급업체는 AI를 사용하여 딥페이크를 발견하고 있다. 본다르는 “딥페이크 공격과 방어는 일종의 칼과 방패와 같은 계속 진화하는 경쟁이다”며 “조직은 신기술로 보안 영역을 강화하고 있지만 공격자도 신기술을 이용해 더 적극적으로 피해 대상을 공격하고 있다”고 전했다.

AI 자동화 도구 제공업체 앱밴스(Appvance)의 회장 겸 CTO인 케빈 서레이스는 이번 설문조사 결과가 놀랍지 않다고 표현했다. 동시에 서레이스는 딥페이크 사기는 증가하고 있지만, 대부분의 경영진은 이에 대해 이야기하고 싶어 하지 않는다고 지적했다.

서레이스는 딥페이크 음성 메시지가 점점 많아지고 있다고 설명했다. 그는 “오늘날에는 누구나 아무런 기술 없이도 음성 메시지 수준의 딥페이크 메시지를 만들 수 있다”고 설명했다. 대화형 딥페이크 음성 통화와 화상 통화를 구현하는 데는 더 많은 기술적 지식이 필요하지만, 이 또한 계속 늘어나고 있다고 전했다.

서레이스는 “이 세 가지 방법 모두 증가하고 있으며, 2025년 말에는 특히 더욱 가짜 음성 메시지, 음성 통화, 화상 통화를 생성하는 도구에 쉽게 접근할 수 있을 것”이라고 밝혔다.

딥페이크 탐지 기술을 제공하는 어테스티브(Attestiv)의 CEO 니코스 베키아리데스는 실제 현실은 딜로이트의 조사 결과보다 더 심각할 수 있다고 언급했다. 금융 전문가를 위한 AI 도구를 제공하는 메디우스(Medius)의 최근 설문조사에 따르면 미국과 영국의 고객 중 절반 이상이 딥페이크 사기의 표적이 된 것으로 나타났다.

베키아리데스는 “지난 몇 달 동안 정치 및 소셜 미디어 분야에서 딥페이크가 보편화되었지만, 금융 사기 분야에서는 훨씬 더 큰 피해를 입고 있다”며 “딥페이크를 통해 신원 도용과 송금 사기가 새로운 국면을 맞이했으며 모든 기업이나 개인이 피해를 입을 수 있다”고 경고했다.
[email protected]

Posted by

in