요약생성
바쁠 때는 리얼라이즈가 내용을 요약해 드려요.
최근 발생한 고액 사기 사건에서 다국적 기업의 재무 직원이 사이버 범죄자에게 2억 홍콩 달러(미화 약 2,560만 달러)를 지불하도록 속았습니다. 홍콩 경찰에 따르면 사기범들은 딥페이크 기술을 사용하여 화상 통화에서 회사의 최고 재무 책임자와 다른 직원으로 가장했습니다.
이 사건은 가짜이지만 설득력 있는 이미지, 비디오, 오디오 및 텍스트를 만드는 데 사용될 수 있는 고급 인공 지능 및 생성 모델의 증가하는 위협에 대한 관심을 불러일으켰습니다.
겉으로 보이는 것보다 더 많은 것이 있는 것처럼 보이지만 AI 사기의 위협을 인지하고 앞으로 일어날 일에 대비하는 것이 중요합니다.
홍콩 사건
홍콩 사건에 대한 자세한 내용은 거의 알려지지 않았습니다. 뉴스 보도에 따르면 해당 직원은 영국에 있는 회사 CFO에게서 온 것으로 보이는 요청을 받은 후 의심이 들기 시작했습니다.
그러나 화상 통화 후 참석한 다른 사람들이 자신이 알아보는 동료처럼 보이고 말하는 것을 보고 확신하게 되었습니다. 그 후 그는 송금에 동의했습니다. 이 사기는 나중에 직원이 회사 본사에 확인한 후에야 발각되었습니다.
제 생각에는 어떤 종류의 기술과 정보를 사용했는지에 대한 자세한 내용을 보기 전까지는 이 이야기가 그다지 설득력이 없습니다. 사람의 얼굴을 다른 사람의 신체에 매핑하고 매우 정밀하게 매핑할 수 있는 고급 모델이 많이 있습니다.
하지만 여전히 후반 작업에서 수정해야 할 분명한 시각적 아티팩트가 남습니다. 따라서 딥페이크는 특히 온라인에서 사용 가능한 이미지가 많지 않은 피사체에 사용되는 경우 실시간으로 완벽한 결과를 제공할 만큼 아직 발전하지 못했습니다.
둘째, 사기를 당한 직원이 CFO와 긴밀히 연락하고 있었다면 사기꾼을 알아봤을 것입니다. 사람들은 얼굴과 목소리뿐만 아니라 더 많은 것으로 서로를 식별합니다. 전문 사기꾼이나 많은 지식과 경험이 있는 내부자가 아닌 한 (실시간으로는 말할 것도 없고) 복제하기 어려운 비언어적 표현, 어조, 언어 사용의 뉘앙스 및 기타 사소한 세부 사항이 있습니다.
셋째, 대부분의 회사에서 매우 큰 거래는 일반적으로 여러 단계를 거쳐 승인 및 실행되어야 합니다. 따라서 실제 CFO는 아마도 그 과정의 중간 어딘가에서 이를 알아차리고 막을 수 있었을 것입니다.
딥페이크 화상 통화와 그 이후에 일어난 사건에 대한 자세한 정보 없이는 홍콩 사건에 대해 당황하거나 모든 상황과 회사에 이를 일반화하지 않겠습니다.
그러나 딥페이크와 생성형 AI 사기가 실질적인 위협이라는 사실을 부인할 수는 없습니다. 그리고 사전에 준비된 AI 생성 오디오 및 비디오 파일을 보내는 것과 같이 더 사소한 수법으로 피해자를 속인 사례가 여러 건 있었습니다.
다행히 기본적인 사이버 보안 원칙은 이러한 사기를 처리하는 데 도움이 될 수 있습니다. 딥페이크 사기를 발견하고 예방하는 데 도움이 되는 몇 가지 팁은 다음과 같습니다.
본능을 억누르고 논리적으로 생각하세요.
피싱 이메일 및 워터링 홀 공격과 같은 고전적인 사기와 마찬가지로 딥페이크 사기는 공포, 불확실성 및 의심(FUD)을 이용합니다. 이는 곧 만료되는 제안, 곧 폐쇄될 계정 또는 위험에 처한 친척과 같이 생각할 틈도 없이 빠른 결정을 내리도록 만드는 상황입니다.
이러한 상황에 직면했을 때는 잠시 멈추고 생각해 보세요. 그런 일이 일어나려면 어떤 조건이 필요한지 생각해 보세요. 예를 들어, 친구가 저에게 연락해서 자신의 기기 중 하나에서 치명적인 정보를 입수했다고 주장하며 암호화폐로 몸값을 지불하지 않으면 공개하겠다고 위협하는 익명의 이메일을 받았다고 말했습니다.
문제의 이메일은 그의 업무용 컴퓨터에서만 사용된 것으로 밝혀졌습니다. 사기꾼이 개인 데이터가 포함된 그의 기기 중 하나와 연결했을 리가 없었습니다. 게다가 함께 이메일을 검토해 보니 받는 사람에게만 해당되는 정보가 전혀 없었습니다. 보낸 사람은 다른 사람에게도 동일한 이메일을 보낼 수 있었을 것입니다.
조치를 취하도록 재촉하는 AI 사기의 경우에도 동일한 원칙을 사용할 수 있습니다. 첫째, 위협이 논리적으로 가능한지 생각해 보세요. 둘째, 해당 인물만의 고유한 특징이나 보낸 사람이 실제로 나를 알고 있음을 증명하는 정보와 같이 미디어의 진위 여부를 증명할 수 있는 증거를 찾으세요.
대체 채널을 사용하여 확인하세요.
민감한 작업을 해야 하는 경우 항상 대체 채널을 통해 확인하세요. 예를 들어, 보낸 사람이 회사 이메일을 통해 연락하는 경우 개인 이메일 주소, 전화번호 또는 메시징 앱을 통해 정보를 확인하세요. 일반적으로 페이스타임이나 전화 통화로 충분합니다. 그리고 걱정하지 마세요. 딥페이크는 아직 누구든 마음대로 전화 통화에서 가족으로 가장할 수 있을 만큼 발전하지 못했습니다.
예를 들어, 아버지가 아들의 AI 생성 오디오 파일로 사기를 당한 경우 다른 채널을 통해 연락하여 빠르게 확인할 수 있었습니다.
동료에게서 메시지를 받은 경우 주장을 확인할 수 있는 다른 방법이 있습니다. 예를 들어, 몇 년 전에 제가 함께 일했던 회사의 직원이 중요한 문서를 요청했습니다. 재무 부서에서 온 것 같았고 이메일도 합법적으로 보였습니다. 하지만 혹시나 해서 제가 함께 일하는 관리자에게 전달하여 확인을 요청했습니다. 또한 제가 이러한 검증을 하는 이유를 말씀드렸습니다. 그녀는 감사를 표하며 관련 부서에 후속 조치를 취했습니다. 실제로 밝혀졌지만 추가 검증 단계가 나쁠 것은 없었습니다.
출처를 확인하세요.
일부 사기는 특정 개인을 대상으로 하지 않습니다. 치과 제품에 대한 톰 행크스 광고와 뉴햄프셔 프라이머리 기간 동안 조 바이든 로보콜처럼 대중을 속이기 위한 것입니다.
이러한 경우 사기를 피하는 가장 좋은 방법은 출처를 확인하는 것입니다. 소셜 미디어 계정 및 웹사이트와 같은 공식 채널에서 본 적이 없는 한 공인에게서 나온 것은 믿지 마세요. 소셜 미디어 알고리즘은 참여와 클릭을 유도하는 선정적인 동영상으로 쉽게 조작될 수 있습니다. 하지만 실제 인물의 계정에 공유되지 않은 동영상이라면 아무리 사실적으로 보여도 믿지 마세요.
이러한 팁은 딥페이크와 생성형 AI의 등장 이전부터 수년 동안 제가 지켜온 지침 원칙입니다. 인공 지능은 현실과 신뢰의 얼굴을 바꾸고 있으며 우리는 이에 적응해야 합니다. 하지만 기본적인 사이버 보안 습관은 당분간 유효하고 유용합니다.