영상 통화는 더 이상 증거가 되지 못하는 시대: 딥페이크가 암호화폐 분야를 위협하는 방법
AI 기반 공격이 암호화 보안을 재편하는 방법
영상 통화가 사기꾼에 대한 추가적인 안전장치 역할을 하던 시절이 있었습니다. 화면에서 누군가를 실시간으로 본다면 실제 사람과 대화하고 있다고 생각했죠. 하지만 기술이 발전하면서 최근에는 안전하다고 여겨지던 것이 더 이상 안전을 보장하지 않습니다.
전 바이낸스 CEO 창펑 자오는 실시간 딥페이크 비디오를 사용해 암호화폐 커뮤니티 구성원을 표적으로 삼고 피해를 입히는 새로운 사기 수법에 주목했습니다. 자오에 따르면 동영상 인증조차도 곧 무의미해질 수 있습니다. 얼굴과 목소리를 그럴듯하게 위조할 수 있다면 누가 진짜로 누구와 대화하고 있는지 어떻게 확신할 수 있을까요?
Loading...
실제 공격은 더 이상 드물지 않습니다
이것은 가상의 위협이 아닙니다. 일본의 암호화폐 인플루언서 마이 후지모토는 신뢰할 수 있는 사람의 딥페이크 버전과 Zoom 통화에 참여한 후 텔레그램과 메타마스크 지갑 모두에 대한 액세스 권한을 잃었습니다. 그녀는 오디오를 듣지 못한 채 '업데이트' 링크를 클릭하도록 속아 넘어갔습니다. 통화에 참여하기 전까지 후지모토는 지인의 텔레그램 계정이 이미 해킹당했다는 사실을 깨닫지 못했습니다.
"지인이 링크를 보내면서 오디오 설정을 조정하기 위해 몇 가지 단계를 따르라고 지시했는데, 그때 공격으로 인해 제 컴퓨터가 손상된 것 같습니다."
딥페이크 공격은 점점 더 암호화폐 회사, 펀드, 거래소의 직원을 표적으로 삼고 있습니다. 최근의 한 사례에서는 악의적인 공격자가 여러 차례의 Zoom 통화를 통해 암호화폐 펀드 임원을 사칭하여 한 직원에게 필요한 소프트웨어를 설치하도록 유도했습니다. 그 결과 키로거, 스크린 레코더, 개인 키 도난이 발생했습니다.
거의 모든 것이 위조될 수 있음
문제는 기존의 디지털 신뢰 모델이 더 이상 작동하지 않는다는 것입니다. 얼굴, 사용자 이름, 목소리 등 이제 이 모든 것이 설득력 있게 위조될 수 있습니다. 최신 딥페이크 알고리즘은 사람의 말투와 표정을 복제할 수 있을 뿐만 아니라 사람의 반응에 실시간으로 적응할 수 있습니다. 즉, 시각적 및 청각적 접촉은 더 이상 신뢰할 수 있는 진위 여부의 지표가 될 수 없습니다.
기업 환경에서는 여전히 내부 플랫폼, 액세스 토큰 또는 백업 확인 채널을 사용하여 다단계 인증을 구현할 수 있지만, 비공식 대화와 개인적인 커뮤니케이션에서는 신뢰에만 의존하는 경우가 많습니다. 누군가의 '목소리'나 '얼굴'에 대한 친숙함이 한때는 안전함을 제공했지만 이제는 약점이 될 수 있다는 점이 바로 사용자를 취약하게 만드는 이유입니다.
기술은 더욱 발전하고 있습니다. 일부 플러그인은 이제 화상 통화 중에 초현실적인 얼굴을 생성하여 눈동자 움직임, 깜박임, 오디오 지연까지 시뮬레이션하여 마치 실제 대화하는 듯한 착각을 불러일으킬 수 있습니다. 이러한 착각은 상대방이 아무런 의심 없이 접근을 허용하거나 위험한 행동을 하도록 설득하기에 충분할 수 있습니다.
사이버 위생은 더 이상 선택 사항이 아닙니다
비공식적인 출처의 소프트웨어를 설치하지 말라는 조의 요청은 더 이상 일반적인 주의 사항이 아니라 사이버 위생을 위한 기본 요건입니다. 화상 통화도 해킹당할 수 있는 세상에서 유일하게 효과적인 보호책은 비판적 사고와 명확한 디지털 행동 프로토콜입니다.
즉, 이메일에서 받은 링크에서
- 비공개 메시지로 받은 링크에서 소프트웨어를 설치하는 행위;
- 영상 통화 중 비밀번호나 코드를 입력하는 행위;
- 별도의 메시지나 다른 플랫폼을 통한 통화 등 2차 확인 채널을 건너뛰는 행위.
한편, 기업은 익숙한 목소리일지라도 내부 신원 확인 정책을 도입하고 행동 모니터링 도구를 도입하며 사칭 징후를 인식할 수 있도록 팀원들을 교육해야 합니다.
아직 이를 의무화하는 법은 없습니다. 하지만 현실은 그렇지 않으며, 실수로 인한 비용은 손실된 자금뿐만 아니라 평판과 비즈니스 연속성으로도 측정됩니다.
