Arup 직원은 CFO가 참석한 화상회의를 보고 340억 원을 이체했다. 참석자 전원이 딥페이크였다. 3초 음성으로 복제하는 AI 사칭 공격.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
MITRE ATT&CK: T1656 (Impersonation) | 전술: Defense Evasion | 플랫폼: Windows, macOS, Linux, Office Suite, SaaS
방화벽과 EDR을 우회할 필요가 없다. CEO 목소리를 3초만 확보하면 재무 담당자가 직접 송금 버튼을 누르거든요. T1656 Impersonation은 기술적 취약점이 아닌 인간의 신뢰를 공격하는 기법이다. 2024년 이후 AI 음성 합성 기술이 대중화되면서, 이메일 한 줄로 끝나던 BEC(Business Email Compromise)가 실시간 영상통화 사칭으로 진화했다.
MITRE ATT&CK에 등록된 T1656 사용 그룹은 5개다. Kimsuky, APT41, APT42, Scattered Spider, 그리고 북한의 Contagious Interview 캠페인이다.
보안 솔루션은 악성 파일, 비정상 네트워크 트래픽, 의심스러운 프로세스를 탐지한다. 하지만 정상적인 업무 지시는 탐지 대상이 아니다. CFO가 재무팀에 송금을 요청하면, 그건 일상 업무다.
공격자 입장에서 사칭의 이점은 명확하다:
| 기존 공격 | 사칭 공격 |
|---|---|
| 악성코드 제작 필요 | 코드 불필요 |
| EDR/AV 우회 필요 | 보안 솔루션 무관 |
| 패치로 차단 가능 | 패치 불가 |
| 포렌식 흔적 남음 | 정상 업무로 위장 |
이메일 사칭은 도메인 스푸핑 탐지(DMARC, SPF)로 일부 차단할 수 있다. 하지만 AI 음성 합성은 탐지할 보안 장비 자체가 없다. 전화기에는 EDR이 설치되지 않는다.
Kimsuky는 북한 관련 연구기관과 NGO를 사칭해 정보를 수집했다. 이메일로 학술 교류를 가장하고, 신뢰 관계를 구축한 뒤 민감 정보를 요청하는 방식이다.
C0027 캠페인에서 Scattered Spider는 정상 IT 직원을 사칭해 전화와 문자를 보냈다. 피해자를 자격증명 수집 사이트로 유도하거나, 원격 관리 도구(RMM)를 설치하게 했다.
북한 연계 Contagious Interview 캠페인은 HR 채용 담당자를 사칭했다. 소셜 미디어와 구직 사이트에서 개발자를 접촉하고, 면접을 진행하면서 악성 애플리케이션 설치를 유도했다.
2024년 1월, 영국 엔지니어링 기업 Arup의 홍콩 지사에서 재무 담당 직원이 영상통화에 참여했다. 화면에는 CFO와 동료 여러 명이 보였다. 전원 딥페이크였다. 15회에 걸쳐 5개 계좌로 2,500만 달러(약 340억 원)가 이체됐다.
같은 해 7월, Ferrari에서도 CEO Benedetto Vigna의 음성을 합성한 WhatsApp 통화가 걸려왔다. 남부 이탈리아 억양까지 재현했다. 하지만 담당 임원이 사전에 약속한 검증 질문 (CEO가 최근 추천한 책 제목) 을 던지자, 공격자는 즉시 연락을 끊었다.
한국에서도 2024년 유명 검사의 방송 출연 음성을 추출해 합성하는 보이스피싱이 적발됐다. 대검찰청은 2024~2027년 86억 원 규모의 딥보이스 탐지 기술 R&D를 착수했다.
이메일 발신 계정의 표시 이름과 실제 SMTP 주소 불일치를 모니터링한다. 'payment', 'wire transfer' 등 민감 키워드가 포함된 비정상적 대량 발신이나, 비정상 위치에서의 로그인 활동을 탐지한다. — MITRE ATT&CK DET0286
Ferrari 사례가 증명한 가장 효과적인 방어는 기술이 아니라 절차다:
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.