오늘의 뉴스 : AI를 활용한 사기 수법, 딥페이크 사기, 피싱 이메일

구글 트랜드를 검색하다가 실시간 이슈가 된 기사가 눈에 들어왔다. 

최근 AI를 활용한 사기가 기승을 부린다는 내용인데, 

헤드라인 이미지는 아래와 같다. 

해당 내용을 요약해 보았다. 

 

 

 

핵심 요약

• 1. 직원의 생성 인공 지능 사용을 금지하는 회사도 AI 금융 사기의 피해자가 되고 있다. 
• 2. ChatGPT 또는 다크 웹에 해당하는 FraudGPT와 같은 도구로 무장한 사기꾼은
•     자신의 음성과 이미지로 손익 계산서, 가짜 ID, 허위 신원 또는
• 3. 설득력 있는 회사 임원의 딥페이크 비디오를 쉽게 만들어 사기에 활용하고 있다.
•    최근 홍콩의 한 회사에서 2,500만 달러가 넘는 사기 사건이 있었으며,
•     이를 통해 AI 사기가 매우 정교하여 속기 쉽다는 것을 알 수 있다. 

현재 미국의  4개 회사 중 1개 이상의 기업이 직원의 생성 AI 사용을 금지하고 있으나

직원을 속여 중요한 정보를 빼내거나 사기성 청구서를 보내 돈을 송금하게 하는 범죄로부터 보호하지 못하고 있다. 

ChatGPT 나 다크 웹의 FraudGPT를 사용하고 있는 사기꾼은 음성과 이미지를 생성하고,

가짜 손익 계산서, 가짜 ID, 가짜 신분증, 회사 임원의 딥페이크 기술로 진짜같은 비디오를 쉽게 만들어 사기에 사용한다.

 

한 설문조사에서 응답자의 65%는 자신의 회사가 2022년에 결제 사기 시도나 실제 결제 사기의 피해를 받았다고 했다.

이 중에 71%는 이메일 사기를 당했다.

또한, 연간 매출이 10억 달러에 달하는 대규모 조직이 이메일 사기에 가장 취약한 것으로 나타났다고 한다. 

가장 흔한 이메일 사기 중에는 피싱 이메일이 있다. 

피싱 이메일 수법은 이렇다.

그럴듯해 보이는 사이트로 연결되는 링크를 클릭하도록 사람들에게 요청하는 이메일을 보내고

Chase 또는 eBay와 같은 신뢰할 수 있는 사이트처럼 위장한 링크로 연결한다.

사기 대상에게 해당 가짜 사이트에 로그인하여 일부 개인 정보를 제공하도록 요청한다.

이후 사기꾼이 이 정보로 은행 계좌에 접근하거나 신원을 도용한 범죄에 사용한다. 

 

스피어 피싱은 유사하지만 더 표적화되어 있는데,

일반 이메일을 보내는 대신 개인이나 특정 조직의 이름으로 이메일을 발송하는데,

사기꾼은 직위, 동료 이름, 심지어 감독자나 관리자의 이름까지 조사하여

실제로 피해자가 아는 사람인것처럼 보이게 할 수 있다. 

전통적인 사기 수법이 더 정교해지다. 

오래된 사기 수법이지만 생성 AI를 사용하면 진위 여부를 판단하기가 어려운 것이 사실이다.

전 세계 어디에서나 사기꾼은 ChatGPT 또는 FraudGPT를 사용하여 설득력 있는 피싱 및 스피어 피싱 이메일을 만들기 쉽고,  회사의 CEO나 다른 관리자를 사칭한 가짜 전화로 목소리를 녹음하거나 화상 통화에서 이미지를 가져할 수도 있다.

그리고 이렇게 가져간 목소리나 얼굴 이미지는 최근 많은 사람들이 사용하고 있는 AI기술을 사용하여 다른 멘트나 다른 상황에서의 얼굴을 하고 그 사람인것처럼 행세할 수 있다. (실제 한국의 일레븐 랩스와 같은 사이트를 이용하면 녹음된 목소리를 사용하여 Text to speech 기술을 접목하여 원하는 문장을 말하게 할 수 있다. 이런 기술은 유튜브만 검색해도 상당한 양의 사용법을 안내하는 영상을 쉽게 찾아 볼 수 있다.)

실제로 최근 홍콩에서 한 재무 직원이

회사의 영국 소재 최고 재무 책임자(CFO)로부터 2,560만 달러의 이체를 요구하는 메시지를 받은 경우가 있었는데,

처음에는 피싱 이메일일지도 모른다고 의심했지만 CFO 및 그가 아는 ​​다른 동료들과의 화상 통화를 통해(사실 모든 참여 인원은 딥페이크 기술로 화상 회의에 참여한 것이었다. )

이 직원은 완전히 속게 되었고  후에  본사에 확인했지만 이미 돈이 이체된 후였다. 

 

또한, 지난 여름, 존재하지 않는 플랫폼을 홍보하는 딥페이크 Elon Musk의 가짜 투자 계획이 있었고,

CBS 뉴스 앵커인 Gayle King의 딥페이크 동영상도 있었다.

전 Fox News 진행자 Tucker Carlson과 토크쇼 진행자 Bill Maher가

머스크의 새로운 투자 플랫폼에 대해 이야기하는 것으로 알려졌지만,

사실 이 비디오는 TikTok, Facebook 및 YouTube와 같은 소셜 플랫폼에서 유포하기 위해 만들어진 가짜 영상이었다. 

 

---

“사람들이 합성 ID를 만드는 것이 점점 더 쉬워졌습니다. 

규제 기술 회사 ComplyAdvantage의 규제 업무 글로벌 책임자 Andrew Davies

 

“범죄자들이 매우 현실적인 피싱 이메일을 만드는 데

사용할 수 있는 정보가 온라인에 너무 많으며,

대규모 언어 모델은 인터넷에서 훈련을 받고 회사, CEO 및 CFO에 대해 알고 있다.”

- 사이버 보안 회사 Netcea의 수석 보안 연구원, Cyril Noel-Tagoe

---

 

이후에 이 기사에서는 금융 사기를 방지하기 위해 더 정교한 금융 API를 개발해야 하며, 

그렇게 하기 위해 더 확실한 이체 절차와 기술 발전이 필요하다는 점을 언급하였다. 

 

이상의 기사 내용을 통해 보았을 때 한국의 보이스 피싱도 조심해야 하지만 

인터넷 이메일에서 의심이 가는 경우에 함부로 회신을 하거나 

링크를 클릭하지 않도록 해야겠다는 경각심이 생겼다. 

또한, 화상회의 후에도 따로 전화 통화를 해서 확인해야 겠다는 생각이 드었다. 

모두 사기꾼 조심!!!