240905.jpg)
팔로알토 네트웍스 위협 연구조직 유닛42..캠페인에 사용되는 수백개 도메인 발견
캠페인 도메인의 86.7%, 같은 주요 CDN 사용...범행 위치 추적 어렵게 만들어
‘퀀텀 AI’라는 캠페인 분석...국내 고객 피해 최소화 위해 무료 인시던트 대응 서비스 제공
[보안뉴스 김영명 기자] 최근 국내에서 딥페이크 성범죄가 기승을 부리고 있는 가운데 전 세계 곳곳에서도 딥페이크 스캠 및 피싱 공격이 대대적으로 발생하고 있는 것으로 나타났다. 최고경영자(CEO), 뉴스 앵커, 고위 공무원 등 다양한 유명인의 모습을 한 딥페이크 스캠(사기) 영상이 기승을 부리고 있어 각별한 주의가 필요하다. 이러한 딥페이크 영상은 주로 허위 투자 계획 및 정부 지원금 등을 미끼로 타깃을 노리고 있다.
▲테슬라 일론 머스크의 딥페이크 영상을 이용해 양자 AI 사기를 홍보하는 웹사이트[이미지=팔로알토 네트웍스]
글로벌 차세대 사이버 보안 선도 기업인 팔로알토 네트웍스(Palo Alto Networks)의 위협 연구조직 유닛42(Unit42)는 이러한 캠페인에 사용되는 수백 개의 도메인을 발견했다. 유닛42의 패시브 DNS 원격 진단에 따르면 각 도메인은 서비스 개시 이후 전 세계에서 평균 11만 4,000회나 접속된 것으로 분석됐다. 도메인 서비스가 시작된 시점은 약 1년 전이지만 올해 2월에는 새롭게 발견된 도메인이 급증했으며, 일반적인 피싱 및 멀웨어 도메인과 달리 평균 활성 시간이 142일로 비교적 수명이 긴 편인 것으로 나타났다.
유닛42는 ‘퀀텀 AI(Quantum AI)’라는 투자 계획을 홍보하는 캠페인부터 시작해 이 캠페인의 배후 인프라를 조사하고, 시간 경과에 따른 확산 추이를 추적했다. 이 인프라 조사를 통해 같은 위협 행위자 그룹이 캠페인을 만들고 확산시키는 과정에서 전혀 다른 주제를 활용하는 여러 개의 딥페이크 캠페인이 추가로 발견됐다.
비디오 분석 파이프라인과 인프라 기반 조사 결과 위조 웹사이트는 새로운 도메인에서 호스팅 되는 방식이고, 대부분 공격자는 합법적인 동영상으로 시작한 후 자체적으로 생성한 AI 오디오를 추가했다. 립싱크 형식으로 AI가 생성한 오디오에 맞춰 화자의 입술 움직임을 수정하는 작업이 사용됐다. 일론 머스크와 같은 유명 기업인은 물론 시사 평론가, 각국 전임 장관을 비롯해 싱가포르 현직 대통령 영상도 발견됐다.
전 세계 딥페이크 스캠의 언어 및 사칭 대상은 다양하지만 △유사한 딥페이크 기법 사용 △유사한 클릭 유도 문구 사용 △소규모의 공유 도메인 세트에서 동영상 호스팅 등의 공통점이 발견됐다. 이는 이러한 캠페인이 단일 위협 행위자 그룹에 의한 것일 가능성이 크다는 점을 시사한다.
호스팅 인프라 분석 결과 공유 호스팅 인프라에서 위장을 시도하는 추세이며, 이러한 캠페인 도메인의 86.7%가 같은 주요 콘텐츠 전송 네트워크(CDN)를 사용하고 있다. 미국, 네덜란드, 러시아가 상위 3개 지역이며, CDN의 여러 IP 주소가 서로 다른 지리적 위치에서 같은 콘텐츠를 호스팅하고 있는데, 이는 CDN을 활용하면 특정 위협 행위자나 지리적 위치로 캠페인을 귀속시키기 어렵기 때문이다.
▲딥페이크 영상 액티브 도메인 추이[자료=팔로알토 네트웍스]
딥페이크 영상을 통해 피해자가 위조된 랜딩 페이지를 방문하면 플랫폼에 가입하기 위한 양식을 작성하도록 하고, 사기 조직에서 피해자에게 연락을 취해 플랫폼에 액세스하기 위한 비용을 요구한다. 또 더 많은 자금을 ‘투자’할 수 있도록 특별한 앱을 내려받아 설치하라고 권유해 수익이 표시되는 대시보드를 제공한다. 그 이후 피해자에게 계속해서 더 많은 돈을 입금하도록 설득하고, 신뢰를 얻기 위해 피해자가 소액을 인출하도록 허용하기도 한다.
피해자가 마지막으로 투자한 자금을 인출하려고 하면 사기범은 인출 수수료를 요구하거나 세금 문제 등 다른 이유를 들어 자금을 돌려받을 수 없다고 말하며 피해자의 계좌를 잠그고 남은 자금을 빼돌리며 피해자가 ‘플랫폼’에 투자한 금액 대부분을 잃게 만드는 것으로 나타났다.
이 같은 방식의 퀀텀 AI 캠페인뿐만 아니라 다양한 딥페이크 피해 사례가 보고되고 있다. 올해 초에 한 기업은 딥페이크 기술을 사용해 화상 회의 통화에서 최고재무책임자를 사칭한 공격자에게 2,500만 달러(한화 약 332억 6,250만원)의 손실을 입었다. 또 미국 대선과 더불어 다양한 국가에 중요한 선거가 진행되는 가운데 연구자들은 딥페이크가 정치적 허위 정보를 조장할 가능성에 대해 우려를 제기하고 있다.
최근에는 각종 소셜 미디어 및 인스턴트 메시징 플랫폼에서 딥페이크 도구 및 제작 서비스를 판매하는 ‘서비스로서의 딥페이크’ 관련 범죄 생태계도 활성화되고 있다. 이러한 제작 도구로 사용된 콘텐츠는 △가짜 신원 생성 △금융사기 △타깃에 맞춘 허위정보 제공 △사용자 인증 방식 우회 △암호화폐 도용 등 다양한 활동에 사용되고 있다.
딥페이크 스캠에는 생성형 AI 기술이 사용되지만, 위협 행위자가 활용하는 호스팅 인프라를 식별하는 조사 기법으로도 유효한 결과를 얻을 수 있다. 팔로알토 네트웍스는 ‘어드밴스드 URL 필터링(Advanced URL Filtering)’ 기능을 사용하는 고객들은 스캠에 사용되는 웹사이트를 지속해서 탐지하고 차단해 안전하게 보호되고 있다고 밝혔다.
팔로알토 네트웍스 연구원들은 이러한 딥페이크 기반 스캠을 지속해서 모니터링하고 추가적인 캠페인이 발생하는지 꾸준히 조사할 계획이다. 또한 어드밴스드 URL 필터링(Advanced URL Filtering)을 통해 고객이 안전하게 보호될 수 있도록 면밀하게 지원을 제공한다.
팔로알토 네트웍스 코리아는 이와 함께 사이버 보안 침해를 우려하는 국내 고객들에게 ‘유닛42 인시던트 대응 리테이너(Unit 42 Incident Response Retainer)’ 오퍼링을 무료로 제공한다. 자격 조건에 해당하는 고객들은 팔로알토 네트웍스의 인테리전스 기반 연구원으로 구성된 유닛42 조직으로부터 250시간의 인시던트 대응 서비스와 2시간의 대응 시간 계약을 요청할 수 있다. 이 서비스를 통해 고객들은 보안 태세를 강화하고 공격의 재발을 방지할 수 있다.
팔로알토 네트웍스 코리아 박상규 대표는 “딥페이크 스캠 우려가 지속해서 지적되는 가운데 실제 피해사례가 등장하고 있는 만큼 신속하고 확실한 대응이 필요한 시점”이라며 “특히 웹 기반 공격이 크게 증가하고 있어 모든 트래픽에 대한 가시성을 확보하고 사각지대 없는 보안 태세를 구축하는 것이 중요하다”고 말했다.
한편 팔로알토 네트웍스 측은 이번 딥페이크 스캠 분석에 대한 보다 자세한 내용은 팔로알토 네트웍스의 유닛42 웹사이트를 통해서 확인할 수 있다고 밝혔다.
[김영명 기자(boan@boannews.com)]
캠페인 도메인의 86.7%, 같은 주요 CDN 사용...범행 위치 추적 어렵게 만들어
‘퀀텀 AI’라는 캠페인 분석...국내 고객 피해 최소화 위해 무료 인시던트 대응 서비스 제공
[보안뉴스 김영명 기자] 최근 국내에서 딥페이크 성범죄가 기승을 부리고 있는 가운데 전 세계 곳곳에서도 딥페이크 스캠 및 피싱 공격이 대대적으로 발생하고 있는 것으로 나타났다. 최고경영자(CEO), 뉴스 앵커, 고위 공무원 등 다양한 유명인의 모습을 한 딥페이크 스캠(사기) 영상이 기승을 부리고 있어 각별한 주의가 필요하다. 이러한 딥페이크 영상은 주로 허위 투자 계획 및 정부 지원금 등을 미끼로 타깃을 노리고 있다.
▲테슬라 일론 머스크의 딥페이크 영상을 이용해 양자 AI 사기를 홍보하는 웹사이트[이미지=팔로알토 네트웍스]
글로벌 차세대 사이버 보안 선도 기업인 팔로알토 네트웍스(Palo Alto Networks)의 위협 연구조직 유닛42(Unit42)는 이러한 캠페인에 사용되는 수백 개의 도메인을 발견했다. 유닛42의 패시브 DNS 원격 진단에 따르면 각 도메인은 서비스 개시 이후 전 세계에서 평균 11만 4,000회나 접속된 것으로 분석됐다. 도메인 서비스가 시작된 시점은 약 1년 전이지만 올해 2월에는 새롭게 발견된 도메인이 급증했으며, 일반적인 피싱 및 멀웨어 도메인과 달리 평균 활성 시간이 142일로 비교적 수명이 긴 편인 것으로 나타났다.
유닛42는 ‘퀀텀 AI(Quantum AI)’라는 투자 계획을 홍보하는 캠페인부터 시작해 이 캠페인의 배후 인프라를 조사하고, 시간 경과에 따른 확산 추이를 추적했다. 이 인프라 조사를 통해 같은 위협 행위자 그룹이 캠페인을 만들고 확산시키는 과정에서 전혀 다른 주제를 활용하는 여러 개의 딥페이크 캠페인이 추가로 발견됐다.
비디오 분석 파이프라인과 인프라 기반 조사 결과 위조 웹사이트는 새로운 도메인에서 호스팅 되는 방식이고, 대부분 공격자는 합법적인 동영상으로 시작한 후 자체적으로 생성한 AI 오디오를 추가했다. 립싱크 형식으로 AI가 생성한 오디오에 맞춰 화자의 입술 움직임을 수정하는 작업이 사용됐다. 일론 머스크와 같은 유명 기업인은 물론 시사 평론가, 각국 전임 장관을 비롯해 싱가포르 현직 대통령 영상도 발견됐다.
전 세계 딥페이크 스캠의 언어 및 사칭 대상은 다양하지만 △유사한 딥페이크 기법 사용 △유사한 클릭 유도 문구 사용 △소규모의 공유 도메인 세트에서 동영상 호스팅 등의 공통점이 발견됐다. 이는 이러한 캠페인이 단일 위협 행위자 그룹에 의한 것일 가능성이 크다는 점을 시사한다.
호스팅 인프라 분석 결과 공유 호스팅 인프라에서 위장을 시도하는 추세이며, 이러한 캠페인 도메인의 86.7%가 같은 주요 콘텐츠 전송 네트워크(CDN)를 사용하고 있다. 미국, 네덜란드, 러시아가 상위 3개 지역이며, CDN의 여러 IP 주소가 서로 다른 지리적 위치에서 같은 콘텐츠를 호스팅하고 있는데, 이는 CDN을 활용하면 특정 위협 행위자나 지리적 위치로 캠페인을 귀속시키기 어렵기 때문이다.
▲딥페이크 영상 액티브 도메인 추이[자료=팔로알토 네트웍스]
딥페이크 영상을 통해 피해자가 위조된 랜딩 페이지를 방문하면 플랫폼에 가입하기 위한 양식을 작성하도록 하고, 사기 조직에서 피해자에게 연락을 취해 플랫폼에 액세스하기 위한 비용을 요구한다. 또 더 많은 자금을 ‘투자’할 수 있도록 특별한 앱을 내려받아 설치하라고 권유해 수익이 표시되는 대시보드를 제공한다. 그 이후 피해자에게 계속해서 더 많은 돈을 입금하도록 설득하고, 신뢰를 얻기 위해 피해자가 소액을 인출하도록 허용하기도 한다.
피해자가 마지막으로 투자한 자금을 인출하려고 하면 사기범은 인출 수수료를 요구하거나 세금 문제 등 다른 이유를 들어 자금을 돌려받을 수 없다고 말하며 피해자의 계좌를 잠그고 남은 자금을 빼돌리며 피해자가 ‘플랫폼’에 투자한 금액 대부분을 잃게 만드는 것으로 나타났다.
이 같은 방식의 퀀텀 AI 캠페인뿐만 아니라 다양한 딥페이크 피해 사례가 보고되고 있다. 올해 초에 한 기업은 딥페이크 기술을 사용해 화상 회의 통화에서 최고재무책임자를 사칭한 공격자에게 2,500만 달러(한화 약 332억 6,250만원)의 손실을 입었다. 또 미국 대선과 더불어 다양한 국가에 중요한 선거가 진행되는 가운데 연구자들은 딥페이크가 정치적 허위 정보를 조장할 가능성에 대해 우려를 제기하고 있다.
최근에는 각종 소셜 미디어 및 인스턴트 메시징 플랫폼에서 딥페이크 도구 및 제작 서비스를 판매하는 ‘서비스로서의 딥페이크’ 관련 범죄 생태계도 활성화되고 있다. 이러한 제작 도구로 사용된 콘텐츠는 △가짜 신원 생성 △금융사기 △타깃에 맞춘 허위정보 제공 △사용자 인증 방식 우회 △암호화폐 도용 등 다양한 활동에 사용되고 있다.
딥페이크 스캠에는 생성형 AI 기술이 사용되지만, 위협 행위자가 활용하는 호스팅 인프라를 식별하는 조사 기법으로도 유효한 결과를 얻을 수 있다. 팔로알토 네트웍스는 ‘어드밴스드 URL 필터링(Advanced URL Filtering)’ 기능을 사용하는 고객들은 스캠에 사용되는 웹사이트를 지속해서 탐지하고 차단해 안전하게 보호되고 있다고 밝혔다.
팔로알토 네트웍스 연구원들은 이러한 딥페이크 기반 스캠을 지속해서 모니터링하고 추가적인 캠페인이 발생하는지 꾸준히 조사할 계획이다. 또한 어드밴스드 URL 필터링(Advanced URL Filtering)을 통해 고객이 안전하게 보호될 수 있도록 면밀하게 지원을 제공한다.
팔로알토 네트웍스 코리아는 이와 함께 사이버 보안 침해를 우려하는 국내 고객들에게 ‘유닛42 인시던트 대응 리테이너(Unit 42 Incident Response Retainer)’ 오퍼링을 무료로 제공한다. 자격 조건에 해당하는 고객들은 팔로알토 네트웍스의 인테리전스 기반 연구원으로 구성된 유닛42 조직으로부터 250시간의 인시던트 대응 서비스와 2시간의 대응 시간 계약을 요청할 수 있다. 이 서비스를 통해 고객들은 보안 태세를 강화하고 공격의 재발을 방지할 수 있다.
팔로알토 네트웍스 코리아 박상규 대표는 “딥페이크 스캠 우려가 지속해서 지적되는 가운데 실제 피해사례가 등장하고 있는 만큼 신속하고 확실한 대응이 필요한 시점”이라며 “특히 웹 기반 공격이 크게 증가하고 있어 모든 트래픽에 대한 가시성을 확보하고 사각지대 없는 보안 태세를 구축하는 것이 중요하다”고 말했다.
한편 팔로알토 네트웍스 측은 이번 딥페이크 스캠 분석에 대한 보다 자세한 내용은 팔로알토 네트웍스의 유닛42 웹사이트를 통해서 확인할 수 있다고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
