저는 기술 전문 기자일지 몰라도 기술에 정통하지는 않습니다. 뭔가 고장 나면 껐다 켜고, 그러다 포기하곤 하죠. 하지만 저도 제 은행 계좌를 비교적 쉽게 딥페이크할 수 있었습니다.
생성 AI 덕분에 다른 사람의 목소리를 흉내 내는 것이 훨씬 쉬워졌습니다. 수년 동안 정치인, 유명인, 그리고 고(故) 교황을 딥페이크(deepfake)하여 소셜 미디어에 허위 정보를 유포하는 일이 있었습니다. 최근 해커들은 저와 같은 사람들을 딥페이크할 수 있게 되었습니다. 해커들이 필요로 하는 것은 인스타그램이나 틱톡의 영상 게시물에서 찾을 수 있는 몇 초 분량의 목소리와, 다크웹의 데이터 유출에서 찾을 수 있는 전화번호나 직불카드 번호와 같은 정보뿐입니다.
제 경우, 이 글의 목적을 위해 말씀드리자면, 몇 주 전에 들었던 라디오 인터뷰 오디오를 다운로드하고, 몇 달러짜리 서비스에 가입한 후 음성 생성기를 학습시켰습니다. 그런 다음 텍스트 음성 변환 기능을 사용하여 은행 직원과 통화했는데, 약간 로봇 같은 목소리였지만 제 목소리와 묘하게 비슷했습니다. 자동화된 시스템과, 그다음에는 실제 상담원과 5분간 통화하는 동안, 제 딥페이크(deepfake) 영상은 거의, 또는 전혀 의심을 불러일으키지 않은 것 같았습니다.
사기꾼들이 점점 더 많이 사용하는 수법입니다. 저렴하고 널리 이용 가능한 생성 AI 도구를 이용하여 사람들을 딥페이크(deepfake)하고 은행 계좌에 접근하거나 심지어 다른 사람 명의로 계좌를 개설하기도 합니다. 이러한 딥페이크는 제작이 점점 쉬워질 뿐만 아니라 적발하기도 점점 어려워지고 있습니다. 작년에는 홍콩의 한 금융권 직원이 화상 통화에서 회사 최고재무책임자(CFO)와 다른 직원들의 얼굴을 딥페이크한 후 사기꾼들에게 실수로 2,500만 달러를 지급했습니다.
큰 실수이긴 하지만, 거액의 수익이 반드시 목표는 아닙니다. 이 기술을 통해 범죄 조직은 대규모로 사람들을 모방하여 딥페이크(deepfake) 음성 통화를 자동화함으로써 수많은 사람들에게서 소액의 사기를 치를 수 있습니다. Deloitte의 보고서에 따르면, 생성적 AI가 사기꾼들을 지원하면서 미국의 사기 손실이 2027년까지 400억 달러에 달할 수 있다고 예측하는데, 이는 2023년 123억 달러에서 크게 증가한 수치입니다. 최근 Accenture가 은행의 사이버 보안 임원 600명을 대상으로 실시한 설문 조사에 따르면, 응답자의 80%가 생성적 AI가 은행의 대응 속도보다 해커의 역량을 더 빠르게 강화하고 있다고 생각한다고 답했습니다.
이러한 사기꾼들은 차세대 AI 도구를 사용하여 대규모로 계좌를 노릴 수 있습니다. 정부, 금융 기관 및 기타 기업을 위해 AI가 생성한 콘텐츠일 가능성을 실시간으로 감지하는 소프트웨어를 개발하는 회사인 Reality Defender의 CEO 벤 콜먼은 "그들은 최고의 엔지니어, 최고의 제품 관리자, 최고의 연구원입니다."라고 말합니다. "만약 사기 행위를 자동화할 수 있다면, 그들은 모든 도구를 사용할 것입니다." 음성이나 이미지를 훔치는 것 외에도, 이들은 차세대 AI를 사용하여 문서를 위조하여 신원을 도용하거나 완전히 새로운 가짜 계정을 만들어 자금을 빼돌릴 수 있습니다.
최근 Accenture가 은행의 사이버보안 임원 600명을 대상으로 실시한 설문 조사에 따르면, 응답자의 80%가 차세대 AI가 은행의 대응 속도보다 해커의 역량을 더 빠르게 강화하고 있다고 믿고 있다고 답했습니다.
사기꾼들은 숫자 놀음을 하고 있습니다. 금융 기관이 차단하더라도 다른 계좌나 서비스를 시도할 수 있습니다. 콜먼(Colman )은 이러한 시도를 자동화함으로써 "공격자들이 자주 정확하지 않아도 성공할 수 있다"고 말합니다. 또한 그들은 최고 부유층만을 노리는 데 관심이 없습니다. 소액의 돈을 많은 사람에게서 뜯어내는 것이 시간이 지남에 따라 더 큰 수익을 낼 수 있습니다. FBI 인터넷 범죄 신고 센터에 따르면, 2024년 평균 온라인 사기 피해액은 2만 달러에 약간 못 미쳤으며, FBI에 접수된 25만 건 이상의 신고 건수에서 모든 연령대의 사람들이 신고했습니다(60세 이상이 가장 많은 신고를 접수하고 가장 큰 피해를 입었지만, 20세 미만도 총 2,250만 달러의 피해를 입었습니다). 그는 "모두가 동등한 표적이 될 수 있다"고 말합니다.
콜먼은 일부 은행들이 지난 몇 년 동안 딥페이크 문제를 해결하려고 노력했지만, 다른 은행들은 이를 시급한 문제로 여기지 않았다고 말합니다. 이제 점점 더 많은 사람들이 고객을 보호하기 위해 소프트웨어를 사용하고 있습니다. 2024년 기업 임원(은행뿐 아니라 다양한 산업 종사자)을 대상으로 실시한 설문 조사에 따르면, 10% 이상이 딥페이크 사기 시도 또는 성공 사례를 경험한 것으로 나타났습니다. 절반 이상은 직원들이 이러한 공격을 식별하거나 해결하도록 교육받지 못했다고 답했습니다.
저는 미국 최대 은행 여러 곳에 연락하여 딥페이크 사기를 탐지하고 근절하기 위해 어떤 조치를 취하고 있는지 문의했습니다. 하지만 몇몇 은행은 답변을 하지 않았습니다. 시티은행은 사기 탐지 방법 및 기술에 대한 세부 정보를 공개하지 않았습니다. JP모건 체이스의 소비자 금융 부문 책임자인 다리우스 킹슬리는 "악의적인 행위자들이 악용할 수 있는 빠르게 발전하는 기술이 야기하는 어려움"을 인지하고 있으며, "고객 보호를 위해 보안 프로토콜을 지속적으로 개선하고 최첨단 솔루션에 투자하여 앞서 나가기 위해 최선을 다하고 있습니다."라고 말했습니다.
딥페이크를 발견하는 것은 까다로운 작업입니다. OpenAI조차도 2023년 AI 작성 탐지기를 출시한 직후 중단했습니다. 정확도가 너무 낮아 자체 ChatGPT에서 생성된 것인지조차 확실하게 탐지할 수 없다는 이유였습니다. 이미지, 비디오, 오디오 생성 기술은 지난 2년 동안 도구가 더욱 정교해짐에 따라 빠르게 발전해 왔습니다. 2년 전만 해도 AI 윌 스미스가 스파게티를 먹는 모습이 얼마나 끔찍하고 비현실적이었는지 기억한다면, OpenAI의 텍스트-비디오 생성기(text-to-video generator,)인 소라(Sora)가 지금 얼마나 놀라운 기능을 하는지 보면 깜짝 놀라실 겁니다. 생성 AI는 흔적을 감추는 데 있어 비약적으로 발전했으며, 이는 사기꾼들에게는 희소식입니다.
은행과 딥페이크 통화를 할 때, 가짜 계정으로 제 직불 카드 번호와 사회보장번호 마지막 네 자리 같은 정보를 읽어달라고 했습니다. 물론 제가 알고 있던 정보였지만, 요즘은 범죄자들이 다크웹에서 이런 개인 정보를 사는 게 너무 쉬워서 데이터 유출 사고에 연루되었을 가능성이 있습니다. 저는 은행에 이메일 주소를 업데이트해 달라고, 아니면 PIN을 변경해 달라고 부탁하는 친절한 문구를 입력했습니다. 가짜 계정은 자동 시스템에 저를 담당자에게 연결해 달라고 반복적으로 간청했고, 상대방에게는 "오늘 잘 지내고 있어요. 잘 지내세요?"라고 쾌활하게 인사했습니다. 저는 가짜 계정을 통해 제 휴대폰으로 전송된 확인 코드를 찾을 시간을 더 달라고 요청했고, 담당자에게 도움에 감사를 표했습니다.
당국은 딥페이크가 얼마나 쉽고 널리 퍼지고 있는지에 대해 경종을 울리기 시작했습니다. 11월, 금융범죄단속망(FCEN)은 금융기관에 젠 AI, 딥페이크, 그리고 신원 사기 위험에 대한 경고를 발령했습니다. 4월 뉴욕 연방준비은행에서 마이클 바 연방준비은행 이사는 이 기술이 "신원 사기를 더욱 가속화할 잠재력"을 가지고 있으며, 딥페이크 공격은 지난 3년 동안 20배 증가했다고 말했습니다. 바 이사는 공격자의 비용을 높이고 은행의 부담을 줄이는 새로운 정책이 필요하다고 강조했습니다. 현재 사기 조직이 대규모 공격을 감행하는 것은 위험과 비용이 상대적으로 낮으며, 은행이 모든 공격을 적발하는 것은 불가능합니다.
은행에만 이상한 전화가 오는 것이 아닙니다. 사기꾼들은 딥페이크를 이용해 사람들에게 전화를 걸어 아는 사람이나 이용하는 서비스를 사칭하기도 합니다. 의심스러운 요청이 들어올 경우 취할 수 있는 조치가 있습니다. 시티은행의 사기 정책 및 혁신 책임자인 아슈윈 라구는 이메일에서 "이러한 사기는 예상치 못한 연락과 거짓된 긴박감을 이용해 사람들을 속여 돈을 빼돌리는 구식 수법의 새로운 변종입니다."라고 말했습니다. 라구는 긴급 요청이나 예상치 못한 전화는 의심해야 한다고 강조했습니다. 친구나 가족처럼 들리는 사람에게서 온 것이라 하더라도 말입니다. 발신자를 확인하거나 다른 방법으로 연락하는 데 시간을 투자하세요. 은행에서 온 것 같으면 전화를 끊고 카드에 적힌 전화번호로 은행에 다시 전화하여 확인해 보세요.
사기꾼들이 AI를 이용해 당신에 대한 모든 데이터를 파헤칠 수 있지만, 그중에는 두 사람만이 알 수 있는 것들도 있습니다. 지난 여름, 페라리의 한 임원은 사기꾼이 회사 CEO가 며칠 전 추천 도서를 물었을 때 그의 목소리를 딥페이크하는 것을 포착했습니다. 소셜 미디어에서 무엇을, 누구에게 공유하는지 제한하는 것은 사기의 표적이 될 가능성을 줄이는 한 가지 방법입니다. 2단계 인증이나 복잡하고 다양한 비밀번호를 저장하는 비밀번호 관리자와 같은 도구도 마찬가지입니다. 하지만 사기의 표적이 되는 것을 피할 완벽한 방법은 없습니다.
Barr's policy의 정책 구상에는 국제 사이버 범죄법의 일관성을 강화하고 법 집행 기관 간의 공조를 강화하는 것이 포함되었는데, 이를 통해 범죄 조직이 발각되지 않고 활동하기 어렵게 만들 것입니다. 그는 또한 생성적 AI를 사기에 사용하려는 자에 대한 처벌을 강화할 것을 촉구했습니다. 하지만 이러한 조치만으로는 기술의 급속한 변화를 따라잡을 수 있는 가장 빠른 해결책은 아닙니다.
이 기술은 무료 앱이나 단돈 몇 달러면 구매할 수 있는 등 쉽게 구할 수 있지만, 사기 방지 플랫폼인 Alloy의 글로벌 핀테크 및 스폰서 뱅킹 담당 부사장인 제이슨 이오아니데스는 문제는 단순히 외로운 해커의 확산이 아니라고 말합니다. 이러한 사기는 대규모 조직 범죄 조직이 저지르는 경우가 많으며, 이들은 대규모로 이동하고 자동화를 통해 수천 건의 공격을 감행할 수 있습니다. 만약 이들이 1,000번 시도하여 한 번만 성공하면, 해당 은행을 조금씩 공략하는 데 집중하게 되고, 은행이 이러한 추세를 파악하고 해결책을 제시할 때까지 계속됩니다. "그들은 약점을 찾은 다음 공격합니다."라고 이오아니데스는 말합니다. 그는 은행들이 빠르게 진화하는 사기 행위를 감지하기 위해 "민첩하게 대응"하고 "다층적인 접근 방식"을 갖춰야 한다고 말합니다. "사기를 100% 막을 수는 없습니다."라고 그는 말합니다. 은행이 일반적으로 완벽하지는 않지만, 다른 기관보다 "악의적인 행위자에게 덜 매력적으로" 보이도록 하는 것이 그들의 방어책입니다.
결국 저는 은행을 완전히 해킹할 수 없었습니다. 전화 통화 중에 직불 카드 PIN과 이메일 주소를 변경하려고 했지만, 첫 번째는 ATM에서, 두 번째는 온라인으로 해야 한다는 말을 들었습니다. 계좌 잔액을 들을 수 있었고, 조금 더 준비하고 전문 지식을 쌓았다면 돈을 좀 옮길 수 있었을지도 모릅니다. 각 은행마다 시스템과 규칙이 다르며, 어떤 은행은 전화로 이메일과 같은 개인 정보를 변경할 수 있도록 허용하기도 합니다. 이는 사기꾼이 계좌에 훨씬 더 쉽게 접근할 수 있도록 합니다. 은행에서 내가 음성을 자동 생성한다는 사실을 알아챘는지는 잘 모르겠지만, 어느 정도 보호 장치가 있다는 걸 알면 잠을 좀 더 잘 수 있을 것 같아요.
Amanda Hoover는 비즈니스 인사이더의 선임 특파원으로, 기술 업계를 취재합니다. 그녀는 주요 기술 기업과 트렌드에 대해 글을 씁니다.
댓글 없음:
댓글 쓰기