내 얼굴이 도둑맞았다… 금융기관 생체인증 노리는 딥페이크

■ ‘멀웨어 공격‘ 반년만에 8배로

‘골드픽엑스’ 설치 무차별 해킹
휴대전화 사용자 사진 빼돌려
금융기관 안면인식 뚫는데 악용
“중국어 쓰는 해커그룹이 유포”

딥페이크(인공지능(AI)으로 만든 이미지 조작물)로 금융기관의 생체인증을 뚫기 위해 개인 정보를 훔치는 멀웨어(악의적인 프로그램)가 등장과 동시에 극성을 부리고 있다. 해당 멀웨어를 활용한 공격은 지난해 하반기에 급격히 늘어난 것으로 확인됐다.

14일 니혼게이자이(日本經濟)신문은 영국 보안전문 기업인 아이프루브를 인용, 안면 인식 생체 인증을 겨냥한 사이버 공격이 2023년 하반기에 급증해 지난해 상반기에 비해 8배로 늘었다고 보도했다.

싱가포르의 보안전문 기업인 그룹 IB는 안면 인식 생체 인증을 노린 멀웨어가 등장해 온라인상에 광범위하게 퍼지고 있다고 지난달 지적한 바 있다. 그룹 IB는 해당 멀웨어를 ‘골드픽엑스(GoldPickaxe)’라고 명명했는데, 안드로이드 버전은 ‘GoldPickaxe.Android’, 아이폰 버전은 ‘GoldPickaxe.iOS’라는 명칭으로 온라인상에 유포되고 있다.

해당 멀웨어 제작자는 중국어를 사용하는 사이버 해커 그룹 ‘골드팩토리(GoldFactory)’로 확인됐다. 이들은 메시지 등을 통한 피싱 수법을 이용해 멀웨어를 내려받도록 하거나 공공 서비스를 제공하는 앱에 ‘골드픽엑스’를 함께 설치하도록 유도하고 있다.

‘골드픽엑스’는 휴대전화 사용자의 다양한 얼굴 사진과 동영상을 이용해 딥페이크 정밀도를 높인다. 또한, 휴대전화 사용자에게 신분증 사진을 촬영하거나 전화번호 등을 입력하도록 유도해 개인정보를 빼낸다. ‘골드픽엑스’는 휴대전화의 메시지 내용을 해킹하거나 저장된 사진 등을 훔치기도 하는 것으로 확인됐다. 이렇게 수집한 정보로 만든 딥페이크 영상과 이미지는 온라인 뱅킹 서비스 등의 얼굴 인증 등 생체인식을 통과하는 데 악용된다. 그룹 IB에 따르면 지난해 딥페이크를 활용한 멀웨어의 공격대상은 금융기관 앱이 90%, 전자 지갑이 8%, 가상화폐 지갑이 2%를 차지했다.

최근 ‘골드픽엑스’의 주요 타깃은 태국과 베트남의 온라인 뱅킹이다. 태국은 지난해 7월부터 안면 인식을 활용하는 앱이 아니면 신규 계좌 개설이나 5만 바트(약 184만5500원)를 넘는 거래는 불가능하게 막아뒀고, 베트남 역시 오는 4월부터 은행에서 송금할 때 얼굴을 활용한 생체 인증을 필수로 했기 때문이다. 지난 2월 베트남 호찌민에 사는 한 남성이 출처 불명의 멀웨어를 다운로드한 뒤, 계좌에 있던 30억 동을 도난당하는 금융사고가 일어나기도 했다.

닛케이는 “멀웨어의 기본적인 작동 구조는 세계 어떤 나라·지역에서도 통용된다”며 “‘골드픽엑스’가 향후 태국·베트남 외 다른 지역을 노릴 가능성이 크다”고 전망했다.

그룹 IB는 “‘골드픽엑스’는 지금까지 본 적도 없는 새로운 사기 수법”이라며 “피해를 막기 위해서는 의심스러운 링크를 클릭하지 말고, 앱은 정규 스토어를 통해서만 다운로드하라”고 당부했다.

김선영 기자 sun2@munhwa.com