AI 딥페이크 툴, 암호화폐 KYC 본인인증 시스템을 표적으로 삼다

AI 딥페이크 툴, 암호화폐 신원 확인 시스템을 위협하다

새롭게 발견된 AI 딥페이크 툴이 주요 암호화폐 거래소의 신원 확인 시스템을 무력화할 수 있다는 보고가 나오면서 보안 연구자들의 심각한 주목을 받고 있다. JINKUSU CAM으로 알려진 이 소프트웨어는 Binance, Coinbase, Kraken, OKX 등의 플랫폼에서 고객 신원 확인(KYC) 절차를 우회할 수 있는 것으로 알려졌다. 실시간 얼굴 및 음성 조작 기능을 활용하여, 이 툴은 라이브 화상 인증 세션 도중 위조된 신원을 제시할 수 있으며, 수백만 명의 사용자가 계정 보안을 위해 의존하는 시스템을 속일 가능성이 있다.

KYC 시스템은 분명한 이유로 존재한다. 많은 국가의 규제 기관은 암호화폐 거래소가 사용자의 신원을 실제로 확인하도록 요구하고 있다. 이러한 확인 절차는 사기, 자금 세탁, 그리고 도용된 신원을 이용한 금융 서비스 접근을 방지하는 데 도움을 준다. JINKUSU CAM과 같은 툴이 이러한 절차를 신뢰성 있게 무력화할 수 있다면, 그 파장은 개별 거래소를 훨씬 넘어선다.

JINKUSU CAM의 작동 방식

보안 연구자들에 따르면, JINKUSU CAM은 신원 확인 워크플로를 무력화하기 위해 특별히 제작된 완전한 실시간 딥페이크 솔루션이다. 핵심 기능은 GPU 가속 페이스 스와핑으로, InsightFace와 같은 프레임워크를 기반으로 하여 라이브 세션 중 부드럽고 사실적인 얼굴 움직임을 구현한다. 또한 이 소프트웨어에는 피치 조절 기능과 프리셋 프로파일을 갖춘 보이스 체인저가 포함되어 있어, 공격자가 제시하는 시각적 신원에 맞춰 음성 출력을 일치시킬 수 있다.

이 툴은 OBS와 같은 소프트웨어를 통한 가상 카메라 출력을 지원하며, 조작된 영상 스트림을 실제 카메라 피드인 것처럼 브라우저와 인증 앱에 직접 주입할 수 있다. 또한 Android 에뮬레이터 내에서도 작동하여, 모바일 기반 인증 프로세스로의 잠재적 적용 범위를 확장한다. GFPGAN 및 페이셜 메시 트래킹을 포함한 추가 AI 툴은 정밀한 표정 매핑에 사용되어, 라이브니스 감지 단계에서 생성된 신원이 더욱 설득력 있게 보이도록 한다.

현대 KYC 시스템의 일반적인 보안 장치인 라이브니스 감지는 정적 이미지나 사전 녹화된 영상이 아닌 실제 사람이 인증 과정에 참여하고 있음을 확인하기 위해 설계되었다. JINKUSU CAM의 기능들은 이러한 유형의 확인 절차를 무력화하기 위해 특별히 설계된 것으로 보인다.

계정 탈취를 넘어선 사기 위험

보안 분석가들은 JINKUSU CAM과 같은 툴이 단순한 개별 사건이 아닌, 대규모 사기를 가능하게 할 수 있다고 경고한다. 한 가지 우려 사항은 과거 데이터 유출 사고에서 도난된 이미지의 활용이다. 공격자들은 유출된 개인 사진을 이용해 인증 절차를 통과하고 금융 계좌에 접근할 수 있는 사실적인 디지털 신원을 구성할 가능성이 있다.

실제 데이터와 허위 데이터를 결합하여 완전히 새로운 신원을 만들어내는 방법인 합성 신원 사기에 대한 우려도 있다. 이러한 합성 프로파일은 자금 세탁, 계정 개설 사기, 그리고 다양한 금융 범죄에 활용될 수 있다. 기반이 되는 신원이 실제 인물에 속하지 않기 때문에, 기존의 방법으로는 추적하거나 탐지하기가 어렵다.

즉각적인 사기 위험을 넘어, 이러한 툴의 존재는 KYC 시스템 전반의 신뢰성 문제를 야기한다. 거래소와 금융 플랫폼은 규정 준수 인프라에 상당한 투자를 하고 있다. 만약 그 인프라가 상업적으로 구매 가능한 AI 소프트웨어로 무력화될 수 있다면, 규제 기관과 금융 기관은 원격 신원 확인에 대한 현재의 접근 방식을 전면적으로 재고해야 할 수도 있다.

사용자에게 미치는 영향

일반 암호화폐 사용자에게 있어, 이러한 유형의 툴이 등장했다는 것은 플랫폼의 보안이 가장 취약한 인증 단계만큼만 강하다는 점을 상기시켜 준다. 악의적인 행위자들이 위조된 신원으로 인증된 계정을 만들 수 있다면, 정상적인 사용자들은 사기, 부정 행위, 그리고 플랫폼 무결성 침해에 더 많이 노출될 수 있다.

이 상황은 또한 어떤 플랫폼을 선택하느냐가 중요한 이유를 잘 보여준다. 기본적인 라이브니스 감지를 넘어 고급 사기 탐지를 포함한 다층적 보안에 투자하는 거래소가 이와 같은 위협에 더 잘 대응할 수 있는 위치에 있다.

스스로를 보호하기 위해 실천할 수 있는 몇 가지 방법을 소개한다:

• 모든 암호화폐 계정에 다중 인증(MFA)을 활성화하고, 가능하면 SMS 대신 인증 앱을 사용하라.
• 무단 활동이나 낯선 로그인 시도가 없는지 정기적으로 계정을 모니터링하라.
• 개인 데이터가 저장되는 곳에 주의를 기울이고, 본인의 정보가 알려진 데이터 유출 사고에 포함되었는지 확인하는 것을 고려하라.
• 각 거래소나 금융 플랫폼마다 고유하고 강력한 비밀번호를 사용하라.
• 자산을 맡기고 있는 플랫폼의 보안 관행에 대해 지속적으로 정보를 파악하라.

여기서 핵심적인 문제는 KYC가 개념으로서 실패하고 있다는 것이 아니라, 이를 무력화하는 기술이 많은 플랫폼이 현재 예상하는 것보다 빠르게 발전하고 있다는 점이다. 거래소들은 이러한 위험을 인식하고 있으며 보안팀이 대응을 위해 노력하고 있지만, 사용자들은 단일 인증 레이어만으로 계정이 완전히 보호된다고 가정해서는 안 된다. 스스로의 보안을 진지하게 여기는 것이 현재 활용 가능한 가장 효과적인 방어 수단 중 하나로 남아 있다.