뉴스앵커, 고위 공무원 딥페이크 스캠 영상으로 허위 투자 계획이나 정부 지원금 등을 미끼로 한 사기가 극성인 것으로 나타났다.
팔로알토 네트웍스는 위협 연구조직 유닛42가 이런 사기 행각에 사용되는 수백 개 도메인을 발견했다고 26일 밝혔다. 사기 예방책으로 팔로알토 네트웍스 솔루션 '어드밴스드 URL 필터링'을 제안했다.
유닛42 진단에 따르면 각 도메인은 서비스 개시 후 전 세계적으로 평균 11만4천 회 접속된 것으로 나타났다. 시작된 시점은 약 1년 전이지만 올해 2월 새롭게 발견된 도메인이 급증했으며, 일반 피싱·멀웨어 도메인과 달리 평균 활성 시간이 142일로 비교적 수명이 긴 편인 것으로 분석됐다.
유닛42는 퀀텀 인공지능(AI)이 라는 투자 계획을 홍보하는 캠페인부터 시작해 캠페인 배후 인프라를 조사했다. 이후 시간 경과에 따른 확산 추이를 추적했다. 조사 결과 동일한 위협 행위자 그룹이 캠페인을 만들고 퍼트리는 과정에서 완전히 다른 주제를 활용하는 여러 개의 추가 딥페이크 캠페인이 발견됐다.
비디오 분석 파이프라인과 인프라 기반 조사 결과 위조 웹사이트는 새로운 도메인에서 호스팅 되는 식이었다. 다수 공격자는 합법적인 동영상으로 시작한 후 자체적으로 생성한 AI 오디오를 추가했다. 립싱크 형식으로 AI가 생성한 오디오에 맞춰 화자의 입술 움직임을 수정하는 작업이 사용됐다. 일론 머스크 같은 유명 기업인은 물론 시사 평론가, 각국 전임 장관을 비롯해 싱가포르 현직 대통령 영상도 발견됐다.
호스팅 인프라 분석 결과 공유 호스팅 인프라에서 위장을 시도하는 것으로 드러났다. 이런 캠페인 도메인의 86.7%가 동일한 주요 콘텐츠 전송 네트워크(CDN)를 사용했다. 미국, 네덜란드, 러시아가 상위 3개 지역이었다. CDN의 여러 IP 주소가 서로 다른 지리적 위치에서 동일한 콘텐츠를 호스팅하고 있었다. CDN을 활용하면 특정 위협 행위자나 지리적 위치로 캠페인을 귀속시키기 어려워서다.
딥페이크 영상을 통해 피해자가 위조된 랜딩 페이지를 방문하면 플랫폼에 가입하기 위한 양식을 작성하게끔 하고, 사기 조직에서 피해자에게 연락을 취해 플랫폼에 액세스하기 위한 비용을 요구한다. 또 더 많은 자금을 투자할 수 있도록 특별한 앱을 다운로드하라고 권유해 수익이 표시되는 대시보드를 제공한다. 이후 피해자에게 계속해서 더 많은 돈을 입금하도록 설득하고, 신뢰를 얻기 위해 피해자가 소액을 인출하도록 허용하기도 한다.
피해자가 마지막으로 자금을 인출하려고 하면 사기범은 인출 수수료를 요구하거나 다른 이유를 들어 자금을 돌려받을 수 없다고 언급하면서 피해자 계좌를 잠그고 남은 자금을 빼돌려 피해자가 플랫폼에 투자한 금액의 대부분을 잃게 만드는 것으로 나타났다.
이와 더불어 각종 소셜 미디어 및 인스턴트 메시징 플랫폼에서 딥페이크 도구 및 제작 서비스를 판매하는 '서비스로서의 딥페이크' 관련 범죄 생태계도 활성화되고 있는 상황이다. 이런 제작 도구로 사용된 콘텐츠는 ▲가짜 신원 생성 ▲금융 사기 ▲타깃에 맞춘 허위 정보 제공 ▲사용자 인증 방식 우회 ▲암호화폐 도용 등 다양한 활동에 사용되고 있다.
관련기사
- 파이오링크, 'SECaaS V1' 출시…클라우드 보안 강화2024.09.26
- 이글루코퍼레이션, UR E27 인증 획득…스마트선박 보안 '선도'2024.09.26
- "안전한 SW 생태계 구축"…정부, 공급망 보안체계 마련한다2024.09.25
- KISIA, 유망 보안 스타트업 발굴·투자 돕는다2024.09.25
딥페이크 스캠에는 생성형 AI 기술이 사용되지만 위협 행위자가 활용하는 호스팅 인프라를 식별하는 조사 기법으로도 유효한 결과를 얻을 수 있다. 팔로알토 네트웍스는 '어드밴스드 URL 필터링' 기능을 사용하는 고객들은 스캠에 사용되는 웹사이트를 지속 탐지하고 차단함으로써 안전하게 보호되고 있다고 밝혔다.
박상규 팔로알토 네트웍스 코리아 대표는 "딥페이크 스캠을 막기 위해 신속하고 확실한 대응이 필요한 시점"이라며 "모든 트래픽 가시성을 확보하고 사각지대 없는 보안 태세를 구축하는 것이 중요하다"고 말했다.
