AI 딥페이크 기술이 또 한 번 진화했습니다. 이번에는 암호화폐 거래소의 KYC(Know Your Customer) 절차를 우회하는 데 사용되고 있다고 합니다. KYC 절차는 여러 거래소에서 본인 인증을 위한 절차로 거래소를 안전하게 사용하는데에 있어 중요한 요소입니다. 사이버보안 전문 업체인 카토 네트워크스에 따르면, ‘ProKYC’라는 이름의 새로운 AI 도구가 암호화폐 거래소와 금융 플랫폼을 겨냥해 만들어졌다고 하는데요. 이 도구는 기존의 사기 수법보다 한층 더 정교하고 위험한 수준이라고 합니다.
기존 KYC 우회 방식과 무엇이 다를까?
그동안 사기꾼들은 다크웹에서 위조 신분증을 구입하는 등의 방법으로 KYC를 우회하려 했습니다. 하지만 ProKYC와 같은 AI 기반 도구는 아예 가짜 신원을 처음부터 만들어낼 수 있습니다. 이 도구는 특히 웹캠으로 찍은 사용자의 얼굴 사진을 정부 발행 신분증과 대조하는 방식의 KYC 절차를 타깃으로 하고 있죠.
ProKYC의 작동 방식은 이렇습니다. 먼저 AI로 가짜 얼굴을 생성한 뒤, 이를 호주 여권 양식에 합성합니다. 그 다음 딥페이크 기술로 영상과 이미지를 만들어 냅니다. 카토 네트워크스가 공개한 데모 영상을 보면, 이렇게 만들어진 가짜 신원으로 두바이 소재 대형 암호화폐 거래소인 바이빗의 KYC 절차를 통과하는 모습을 확인할 수 있습니다.
이런 기술이 왜 위험한 걸까요?
ProKYC 같은 도구를 이용하면 범죄자들이 암호화폐 거래소에 손쉽게 새 계정을 만들 수 있게 됩니다. 이를 ‘새 계정 사기(New Account Fraud, NAF)’라고 하는데요. ProKYC 웹사이트를 보면 카메라, 가상 에뮬레이터, 얼굴 애니메이션, 지문, 인증 사진 생성 등의 기능을 포함한 패키지를 연간 구독 형태로 629달러에 판매하고 있습니다. 범죄자들도 이런 기술을 통해서 손쉽게 계정을 만들고 거래가 가능해집니다. 결국 암호화폐 시장이 범죄에 사용되기가 더욱 쉬워지고 시장의 건강함이나 안정성이 떨어질 수 있습니다.
암호화폐 거래소뿐만 아니라 스트라이프, 레볼루트 같은 결제 플랫폼의 KYC도 우회할 수 있다고 주장하고 있어 그 위험성이 더욱 크다고 할 수 있습니다.
딥페이크 활용 KYC 우회 대응책은 있을까?
카토 네트워크스의 에타이 마오르 최고보안책임자(CSO)는 이런 AI 사기를 제대로 탐지하고 방어하는 것이 매우 어려운 과제라고 말합니다. 시스템을 너무 엄격하게 만들면 오탐지(false positive)가 많이 발생할 수 있고, 반대로 느슨하게 하면 사기꾼들이 빠져나갈 구멍이 생기기 때문이죠.
그래도 몇 가지 탐지 방법은 있습니다. 예를 들어 사람이 직접 비정상적으로 화질이 좋은 이미지나 영상을 찾아내거나, 얼굴 움직임이나 이미지 품질의 불일치를 발견하는 방식 등이 있습니다.
미국에서는 신분 사기에 대해 최대 15년의 징역형과 무거운 벌금형을 부과하고 있지만, 이런 첨단 기술을 이용한 사기를 막기에는 역부족인 것 같습니다.
전문가들은 앞으로 AI를 이용한 딥페이크 사기가 더욱 기승을 부릴 것으로 예상하고 있습니다. 실제로 지난 9월 노턴, 아바스트 등 백신 프로그램으로 유명한 젠 디지털이 발표한 보고서에 따르면, 딥페이크 AI 영상으로 사람들을 속여 가짜 토큰에 투자하게 만드는 수법이 최근 10개월 사이 크게 늘었다고 합니다.
AI 기술이 발전할수록 이를 악용하는 사례도 함께 증가하고 있습니다. 개인정보 보호와 금융 보안에 대한 우리의 경각심도 그만큼 높아져야 할 것 같네요. 여러분은 어떻게 생각하시나요?