가짜 얼굴: Unit 42, 합성 신원 생성의 놀라운 용이성 입증

요약

증거에 따르면 북한 IT 요원이 원격 근무를 통해 조직에 침투하기 위해 실시간 딥페이크 기술을 사용하고 있으며, 이는 심각한 보안, 법률 및 규정 준수 위험을 초래합니다. 이 보고서에서 설명하는 탐지 전략은 보안 및 HR 팀에 이러한 위협에 대비하여 채용 프로세스를 강화할 수 있는 실질적인 지침을 제공합니다.

데모에서는 쉽게 구할 수 있는 도구와 저렴한 소비자용 하드웨어를 사용하여 실시간 딥페이크 생성 방법을 알아내는 데 사전 경험 없이도 1시간 남짓 걸렸습니다. 이를 통해 공격자는 그럴듯한 합성 신원을 쉽게 만들어 탐지되지 않은 채 활동할 수 있으며 제재 대상 정권을 위해 잠재적으로 수익을 창출할 수 있습니다.

현재 딥페이크 기술의 한계는 여전히 탐지할 수 있지만, 이러한 한계는 빠르게 줄어들고 있습니다. 조직은 직원 라이프사이클 전반에 걸쳐 강화된 검증 절차, 기술적 통제, 지속적인 모니터링을 결합하여 계층화된 방어를 구현해야 합니다.

Palo Alto Networks 고객은 Unit 42 내부자 위협 서비스를 통해 이 문서에서 설명된 위협으로부터 더 효과적으로 보호받을 수 있습니다.

조직은 Unit 42 인시던트 대응 팀에 연락하여 이 위협 및 기타 위협에 대한 구체적인 지원을 요청할 수 있습니다.

관련 Unit 42 주제	Social Engineering, DPRK, Wagemole

탈북자 인터뷰

최근 인재 확보 및 사이버 보안 커뮤니티에서는 면접 시 실시간 딥페이크를 사용하는 지원자가 급증하고 있다고 보고했습니다. 조사관들은 그림 1과 같이 면접 대상자가 여러 지원자 프로필에서 동일한 가상 배경을 사용하여 합성 비디오 피드를 제시하는 사례를 기록했습니다.

The Pragmatic Engineer 뉴스레터에서는 두 개의 서로 다른 딥페이크 지원자를 발견한 폴란드 AI 회사의 사례 연구를 소개했습니다. 면접관은 동일한 개인이 두 페르소나를 모두 조작한 것으로 의심했는데, 특히 이전에 면접 형식과 질문을 경험한 후 두 번째 기술 면접에서 조작자가 눈에 띄게 자신감을 보였기 때문입니다.

The Pragmatic Engineer 보고서에서 공유된 Unit 42의 지표 분석에 따르면 조선민주주의인민공화국(북한) IT 요원 운영의 알려진 전술, 기법 및 절차(TTP)와 일치합니다. 이는 기존의 사기성 업무 침투 수법이 논리적으로 진화한 것입니다.

북한의 위협 행위자들은 지속적으로 신원 조작 기술에 상당한 관심을 보여 왔습니다. 당사의 2023년 조사에서는 유출된 개인 정보를 기반으로 한 합성 신원을 생성하여 탐지를 더욱 어렵게 만들려는 시도에 대해 보고했습니다.

이미지 조작 서비스인 Cutout.pro 침해를 분석한 결과 추가 증거를 발견했는데, 북한 IT 요원들의 활동과 연관된 것으로 보이는 이메일 주소가 다수 발견되었습니다. 그림 2는 얼굴이 바뀐 헤드샷에서 이러한 이미지 조작을 보여줍니다.

북한 IT 요원은 실시간 딥페이크 기술을 구현하여 침투 방법론을 점차 발전시켰습니다. 이는 두 가지 주요 운영상의 이점을 제공합니다. 첫째, 한 명의 지원자가 다양한 가상 페르소나를 사용하여 동일한 직책에 대해 여러 번 면접을 볼 수 있습니다. 둘째, 그림 3과 같이 요원이 신원이 노출되어 보안 게시판이나 수배 공지에 추가되는 것을 방지할 수 있습니다. 이 두 가지를 결합하면 북한 IT 요원이 향상된 운영 보안과 탐지 가능성 감소를 누릴 수 있습니다.

0에서 통과까지

이미지 조작 경험도 없고 딥페이크에 대한 지식도 부족하며 5년 된 컴퓨터 한 대로 70분 만에 면접용 합성 신원을 만들었습니다. 생성의 용이성은 이 기술이 위협 행위자들에게 얼마나 위험할 정도로 쉽게 접근 가능한지를 보여줍니다.

AI 검색 엔진과 인터넷 연결, 2020년 말에 구매한 GTX 3070 그래픽 처리 장치만 사용하여 그림 4와 같은 샘플을 생성했습니다.

그림 4. 저렴하고 널리 사용되는 하드웨어를 사용한 실시간 딥페이크 데모.

이들은 생성된 얼굴을 개인 및 상업적 목적으로 사용할 수 있는 thispersonnotexist[.]org에서 생성한 단일 이미지와 딥페이크용 무료 도구만 사용했습니다. 이를 통해 그림 5와 같이 여러 개의 신원을 생성했습니다.

그림 5. 신원 바꾸기 데모.

간단한 옷차림과 배경 이미지 변경만으로 채용 담당자에게 새로운 지원자로 다시 접근할 수 있습니다. 사실 이 전체 프로세스에서 가장 시간이 많이 걸리는 부분은 비디오 화상회의 소프트웨어에서 캡처할 가상 카메라 피드를 만드는 것이었습니다.

그림 6에서 볼 수 있듯이 동일한 프로세스의 고해상도 버전은 시간이 조금 더 걸리고 훨씬 더 강력한 그래픽 처리 장치로 더 설득력 있는 결과를 만들어 냈습니다.

그림 6. 리소스 집약적인 기술을 사용한 더 높은 품질의 딥페이크.

탐지 기회

실시간 딥페이크 시스템에는 탐지 기회를 만드는 몇 가지 기술적 결함이 있습니다.

1. 시간적 일관성 문제: 빠른 머리 움직임으로 인해 트래킹 시스템이 정확한 랜드마크 위치를 유지하지 못해 눈에 띄는 아티팩트(인공적 오류현상)가 발생했습니다.
2. 오클루전 (occlusion) 처리: 운영자의 손이 얼굴 위로 지나가면 딥페이크 시스템이 부분적으로 가려진 얼굴을 제대로 재구성하지 못했습니다.
3. 조명 적응: 조명 조건의 갑작스러운 변화로 인해 특히 얼굴 가장자리 주변에서 렌더링에 불일치가 발생했습니다.
4. 시청각 동기화: 입술 움직임과 말하기 사이의 약간의 지연은 주의 깊게 관찰하면 탐지할 수 있었습니다.

현재로서는 딥페이크를 시도하는 사람들의 시도를 어렵게 만드는 몇 가지 방법이 있습니다. 가장 효과적인 방법은 얼굴에 손을 대면 얼굴 랜드마크 추적을 방해하는 것으로 보입니다.

뉴욕대학교의 Govind Mittal 등은 다음과 같은 추가 전략을 제안합니다.

• 빠른 머리 움직임
• 과장된 표정
• 갑작스러운 조명 변경

이러한 기술은 실시간 딥페이크 시스템의 약점을 악용하여 눈에 보이는 인공물을 만들어 사람이 높은 정확도로 가짜를 탐지할 수 있도록 도와줍니다.

그림 7a~c에서 면접관의 레퍼토리에 추가할 수 있는 세 가지 옵션을 더 보여드리겠습니다.

그림 7a. ‘귀에서 어깨까지’

그림 7b. ‘코 보여주기’

그림 7c. ‘하늘 또는 땅’

완화 전략

북한 IT 요원 캠페인은 인적 자원(HR)과 정보 보안 팀 간의 긴밀한 협업을 요구합니다. 이 두 가지가 함께 작동하면 조직은 전체 채용 및 고용 라이프사이클에 걸쳐 더 많은 탐지 기회를 얻을 수 있습니다.

면책 조항: 다음은 독자가 고려할 수 있는 인사이트와 제안을 제공하기 위한 완화 전략입니다. 이러한 내용은 정보 제공의 목적으로만 제공되며 법률 자문으로 간주되어서는 안 됩니다. 이러한 관행을 시행하기 전에 법률 고문과 상의하여 관련 법률에 부합하는지 확인하세요.

HR 팀용:

• 초기 상담을 포함한 면접을 위해 지원자에게 카메라를 켜도록 요청하세요.
  • 잠재적인 포렌식 분석을 위해 (적절한 동의하에) 해당 세션 기록
• 다음을 포함하는 포괄적인 신원 확인 워크플로우를 구현하세요.
  • 제출된 문서에서 보안 기능, 변조 지표 및 정보의 일관성을 확인하는 자동화된 포렌식 도구를 사용하여 문서 진위 여부 검증
  • 지원자가 특정 실시간 작업을 수행하는 동안 실제 신분증을 제시해야 하는 통합 생체 인식 기능을 갖춘 신분 확인
  • 신분증과 면접 대상자 간 매칭을 통해 면접 대상자가 본인 신분과 일치하는지 확인
• 채용 담당자와 기술 면접 팀이 부자연스러운 눈동자 움직임, 조명 불일치, 시청각 동기화 문제 등 비디오 면접에서 의심스러운 패턴을 식별할 수 있도록 교육합니다.
• 면접관이 지원자에게 딥페이크 소프트웨어가 수행하기 어려운 동작(예: 프로필 회전, 얼굴 근처 손동작 또는 빠른 머리 움직임)을 요청하는 데 익숙해지도록 합니다.

보안 팀용:

• 입사 지원 IP 주소를 기록하고 익명화된 인프라나 의심스러운 지역에서 온 것이 아닌지 확인하여 채용 파이프라인을 보호하세요.
• 제공된 전화번호가 인터넷 프로토콜을 통한 음성 통신(VoIP) 사업자인지, 특히 신원 은닉과 관련된 사업자인지 확인하기 위해 전화번호를 강화합니다.
• 파트너 회사와 정보 공유 계약을 유지하고 해당 정보 공유 및 분석 센터(ISAC)에 참여하여 최신 합성 신원 기술을 최신 상태로 유지합니다.
• 사용에 대한 적법한 비즈니스 정당성이 없는 경우 가상 웹캠 설치를 가능하게 하는 소프트웨어 애플리케이션을 식별하고 차단합니다.

추가 지표:

• 채용 후 비정상적인 네트워크 액세스 패턴, 특히 익명화된 서비스에 대한 연결 또는 무단 데이터 전송을 모니터링합니다.
• 디바이스의 물리적 소유가 필요한 다단계 인증 방법을 구축하여 신원 사칭을 더욱 어렵게 만듭니다.

조직 정책 고려 사항:

• 에스컬레이션 절차 및 증거 보존 방법을 포함하여 위조 신원 의심 사례를 처리하기 위한 명확한 프로토콜을 개발합니다.
• 채용에 관여하는 모든 직원에게 위조 신원 위험 신호에 대해 교육하는 보안 인식 프로그램을 만듭니다.
• 추가 확인 마일스톤에 도달할 때까지 신규 직원의 액세스를 제한하는 기술적 제어를 설정합니다.
• 검증 실패를 문서화하고 업계 파트너 및 관련 정부 기관과 적절한 기술 지표를 공유합니다.

이러한 계층화된 탐지 및 완화 전략을 구현함으로써 조직은 합법적인 지원자를 위한 효율적인 채용 프로세스를 유지하면서 위조 신원 침투의 위험을 크게 줄일 수 있습니다.

결론

북한의 IT 요원 운영으로 대표되는 위조 신원 위협은 전 세계 조직이 직면한 도전 과제입니다. 당사의 연구는 AI로 생성된 얼굴, 문서 위조 도구, 실시간 음성/영상 조작 기술이 더욱 정교해지고 쉽게 사용할 수 있게 되면서 기술 장벽이 지속적으로 낮아지고 있는 가운데, 합성 신원 생성의 놀라운 접근성을 보여줍니다.

합성 신원 기술이 계속 발전함에 따라 조직은 이를 결합한 계층화된 방어 전략을 구현해야 합니다.

• 향상된 인증 절차
• 딥페이크 탐지를 위한 AI 지원 대응 방안
• 고용 기간 내내 지속적인 확인

이 접근 방식은 북한 IT 요원뿐만 아니라 다양한 유사 위협에 대한 조직의 탐지 및 방어 능력을 크게 향상시킵니다.

단일 탐지 방법으로는 합성 신원 위협에 대한 보호를 보장할 수 없지만, 계층화된 방어 전략은 이러한 위험을 식별하고 완화하는 조직의 능력을 크게 향상시킵니다. HR 모범 사례와 보안 제어를 결합하면 효율적인 채용 프로세스를 유지하면서 북한 IT 요원 및 유사한 위협 행위자들이 사용하는 정교한 전술로부터 보호할 수 있습니다.

Palo Alto Networks 고객은 Unit 42를 통해 위에서 설명한 위협으로부터 더 효과적으로 보호할 수 있습니다. 내부자 위협 서비스를 통해 탐지 및 해결을 총체적으로 개선할 수 있습니다.

개인정보가 유출되었다고 생각되거나 긴급한 문제가 있는 경우 Unit 42 인시던트 대응 팀에 문의하거나 다음 연락처로 전화하세요.

• 북미: 무료 전화: +1 (866) 486-4842(866.4.UNIT42)
• 영국: +44.20.3743.3660
• 유럽 및 중동: +31.20.299.3130
• 아시아: +65.6983.8730
• 일본: +81.50.1790.0200
• 호주: +61.2.4062.7950
• 인도: 00080005045107

Palo Alto Networks는 이러한 조사 결과를 사이버 위협 연합(Cyber Threat Alliance, CTA) 회원사들과 공유했습니다. CTA 회원사는 이 인텔리전스를 사용하여 고객에게 보호 기능을 신속하게 구축하고 악의적인 사이버 공격자를 체계적으로 차단합니다. Cyber Threat Alliance에 대해 자세히 알아보세요.

추가 리소스

• BeaverTail 비디오 화상회의 앱 피싱 공격에 연관된 가짜 북한 IT 요원 - Unit 42, Palo Alto Networks
• 자신도 모르게 북한에 돈을 지불하고 있는 글로벌 기업: 이들을 잡는 방법 - Unit 42, Palo Alto Networks
• 고용주 해킹 및 구직 시도: 북한 위협 행위자의 특징이 드러난 두 가지 직업 관련 캠페인 - Unit 42, Palo Alto Networks
• 컨테이저스 인터뷰: 북한 위협 행위자, 기술 업계 구직자들을 유인해 BeaverTail 및 InvisibleFerret 멀웨어의 새로운 변종 설치 - Unit 42, Palo Alto Networks
• 포착: 챌린지-응답을 통한 실시간 비디오 딥페이크 탐지 - Govind Mittal, Chinmay Hegde, Nasir Memon
• 기술 개발자 채용에서 드러난 AI 사기꾼: 사후 분석 - Gergely Orosz, The Pragmatic Engineer
• 딥페이크 인터뷰에서 일어나는 일 - Billy Hurley, IT Brew
• 웹에서 새롭게 부상하는 딥페이크 사기 캠페인의 역학 관계 - Unit 42