(AI타임스=윤광제 기자) 2020년의 사이버 보안 위협 동향은 도대체 어떠한 양상을 보일 것인가? 보안 벤더 각사가 매번 각종 유행을 예상하고 있지만 2020년의 예측에서 두드러지는 것은 '딥 페이크'이다.
딥 페이크는 AI(인공 지능)기술 중 하나인 '딥 러닝(심층 학습)'과 '페이크(가짜)'를 조합한 신조어다. 현실의 영상이나 음성, 화상의 일부를 가공해 가짜 정보를 함께 넣어서 마치 진짜처럼 꾸며서 상대를 속이는 방법으로 거기에 딥 러닝 기술이 악용되고 있다.
예를 들면 유명 인사가 연설을 하거나 인터뷰를 갖고 있는 영상이 있다면 그 사람의 몸짓 손짓이나 표정, 입가의 움직임, 목소리와 같은 부분을 해석하고 실제와는 다른 내용을 마치 진짜처럼 겹친다. 이러한 잔꾀는 옛날부터 존재했지만, 딥 러닝 기술의 진화에 의해서 한번 봐서는 가짜로 간파하는 것이 어려울 만큼 정밀한 것을 만들 수 있게 됐다.
많은 보안 벤더가 ‘딥 페이크’의 유행을 예상하는 근거 중 하나는 2020년에 미국에서 열리는 대통령 선거다. 2016년 선거에서는 정치가 등의 동영상을 세공한 위조품을 인터넷에 퍼뜨리고 소동을 부추기 ‘페이크 뉴스’가 문제가 되며 디지털의 ‘가짜’가 세상을 속이는 유효한 수법이라고 인식되기에 이르렀기 때문이다.
ESET는 “2016년 미국 대통령 선거에서 정보나 데이터 조작에 대한 항의에서 ‘가짜 뉴스’라는 용어가 퍼졌다”면서 “2020년 대통령 선거에서도 다시 논쟁을 불러일으킬 것은 틀림없다"는 예측을 내놓았다. FireEye는 "투표일까지 몇 달 동안은 공격 활동의 급증이 전망된다. 공격자는 소셜 미디어나 유사한 플랫폼을 표적으로 삼아 유권자를 유도하기 위해서 가짜 정보를 확산할 가능성이 높을 것"이라고 밝혔다.
◆기본은 "사람의 심리"를 찌르는 속이기
딥 페이크는 테크놀로지의 진화에 의해서 출현한 새로운 공격 방법처럼 보이지만 기본적으로는 인간의 심리와 행동의 틈을 공격하는 ‘소셜 엔지니어링’에 포함되는 위협이다.
Splunk의 보안 담당 글로벌 헤드를 맡은 Keith Kops씨는 "IT보안의 약점은 완전히 배제할 수 없는 내부 부정, 즉 ‘사람’이 약점이다”고 정의했다. 그는 “종업원은 피싱 메일을 클릭하거나 친절하게도 낯선 사람 때문에 문을 열어 주거나 노트 PC의 록을 해제한 채 화장실이 되거나 하는 것으로, 무의식적으로 위협에 노출 시키기 때문에 내부에 사는 적"이라고 설명했다.
소셜 엔지니어링을 이용하는 범죄는 예부터 존재한다. IT가 가까워진 현대에도 충분히 통용되므로 그 위협이 떨어지는 모습은 보이지 않는다. Splunk는 미국 한 매체의 프로듀서 덴 페터슨 씨의 해설을 인용, "표적을 속이기 위해서 특정 시스템이나 데이터베이스, 제로데이엑스프로이토 등 컴퓨터를 악용하는 공격에서 사용하는 기술적 지식은 불필요하다"고 지적했다.
즉 딥 페이크는 컴퓨터 시스템 자체의 약점이 아니라 인간의 틈을 찌르는 공격 방법이다. 컴퓨터 시스템의 보안을 기술로 견고하고 보안 수준을 높이면 방어 못 할 종류의 위협이 아니다.
Splunk에서는 ▲소셜 엔지니어링의 증가, ▲기업에서는 평범한 피싱 공격을 회피하기 위한 철저한 종업원 교육의 부족, ▲딥 페이크 기술이 진화, ▲음성 위장, ▲라이브 동영상 조작 가능성 등을 분석하고 이에 대한 대응책 마련을 위해 노력하고 있다고 밝혔다.
무단전재 및 재배포 금지
기사제보 및 보도자료 news@aitimes.com