생체인식 사기 기술은 은행 보안 시스템을 위협합니다.

인공지능 기술이 악용되고 있다.

최근 타이빈 에서 적발된 수십억 달러 규모의 불법 도박 조직은 인공지능(AI) 기술을 이용해 가짜 얼굴 영상을 생성함으로써 계좌 소유자의 직접적인 개입 없이 은행 애플리케이션의 생체 인증을 우회했습니다. 이러한 정교한 수법은 다음과 같은 우려스러운 질문을 제기합니다. 어떻게 기술이 악용되어 뚫을 수 없을 것 같은 보안 장벽을 우회할 수 있을까요?

타이빈성 경찰청 형사수사국의 정보에 따르면, 도박 및 자금세탁 혐의로 21명을 기소하고 형사 사건을 개시했습니다. 이는 범죄자들이 인공지능(AI)을 불법 활동에 이용한 베트남 최초의 사례라는 점에서 충격적입니다.

용의자들은 도박을 조직하는 것 외에도, 도박꾼들이 돈을 입금할 수 있도록 자신들의 명의로 은행 계좌를 개설하는 사람들을 고용하여 자금 세탁을 했습니다. 그들은 대만(중국)에서 베트남에 있는 휴대전화에 연결된 컴퓨터를 원격으로 제어했는데, 이 휴대전화에는 은행 앱이 미리 설치되어 있었습니다. 그런 다음 돈은 여러 계좌를 통해 이체되어 불법적인 출처를 숨겼습니다.

구체적으로, 생체 인증이 필요한 1천만 VND 이상의 고액 거래를 처리하기 위해 이 그룹은 AI로 생성된 가짜 계좌 소유자의 얼굴 영상을 사용하여 실제 사람의 협조 없이도 보안 시스템을 손쉽게 우회했습니다.

계좌 소유자의 직접적인 개입 없이 은행 애플리케이션의 생체 인증을 우회하기 위해 AI 기술을 이용해 가짜 얼굴 영상을 생성하는 수법에 대해, 국가 사이버보안협회 기술부 부장인 부 응옥 손(Vu Ngoc Son) 씨는 당국이 해당 사건을 조사 중이며 곧 공식 정보를 발표할 것이라고 밝혔습니다.

기술적인 관점에서 손 씨는 해당 일당이 루팅된 안드로이드 폰을 사용했을 가능성이 가장 높다고 보고 있습니다. 즉, 운영 체제를 심각하게 조작하여 기기에 대한 최상위 접근 권한을 확보했다는 뜻입니다. 제조사들은 데이터 및 시스템 보안을 위해 이러한 접근 권한을 일반적으로 제한합니다. 하지만 일부 휴대폰 모델, 특히 범죄자들의 손에 들어간 경우에는 루팅이 그리 어렵지 않습니다.

기기를 장악한 범죄자는 실제 카메라를 모방한 소프트웨어 프로그램인 가상 카메라를 설치할 수 있습니다. 이 프로그램은 실제 카메라로 이미지를 녹화하는 대신, 인공지능 기술을 이용해 생성된 사전 제작된 비디오 클립에서 신호를 수신합니다. 이러한 방식으로 은행 앱은 계좌 소유자가 생체 인증을 받고 있다고 속일 수 있지만, 실제로는 가짜 이미지가 사용될 수 있습니다.

사용자는 스스로를 보호하기 위해 무엇을 해야 할까요?

손 씨에 따르면, 이는 현재 사기와의 전쟁이 단순히 기술 경쟁이 아니라 사람들 사이의 지혜 싸움이기도 하다는 것을 보여주는 대표적인 사례입니다. 따라서 기술적 해결책을 강화하는 것 외에도 사용자들이 경각심을 갖고 주의를 기울이는 것이 중요합니다. 그는 또한 많은 금융기관들이 생체인식 위조를 방지하기 위해 고도의 보안 시스템을 구축했기 때문에 모든 은행 애플리케이션이 쉽게 우회되는 것은 아니라고 강조했습니다. 사람들은 지나치게 불안해할 필요는 없지만, 그렇다고 방심해서도 안 됩니다.

트리툭 바 꾸옥송 신문 기자와의 인터뷰에서 하노이 변호사협회 소속 켓노이 법률사무소 대표인 응우옌 응옥 흥 변호사는 현재 범죄자들이 사진, 동영상 또는 온라인에 유출된 개인 정보에서 피해자의 얼굴 이미지를 수집한 후 딥페이크 기술을 이용해 얼굴 복제본을 만드는 등 다양한 기술적 수법을 사용하여 생체 정보를 위조하고 있다고 밝혔습니다. 이들은 복제본을 이용해 피해자의 기기 또는 모의 기기에 설치된 은행의 생체 인증 시스템을 속여 자산을 탈취합니다.

사기성 생체인식 기술을 사용하여 은행 앱 인증 시스템을 우회하고 돈을 훔치는 것은 베트남 법에 따라 처벌받을 수 있는 첨단 기술 사기입니다.

따라서 횡령 금액, 감경 및 가중 사유, 그리고 각 개인과 사건에 영향을 미치는 기타 요인에 따라, 이들은 형법 제174조에 규정된 "부정재산횡령"죄로 최대 20년의 징역 또는 무기징역의 형벌에 처해질 수 있습니다.

은행은 고객 계좌의 안전을 보장하기 위해, 특히 생체 인증 기술을 사용할 경우, 충분히 강력한 보안 시스템을 구축하고 유지해야 할 명확한 의무가 있습니다. 만약 시스템이 사기성 기술에 의해 공격받거나 우회되었는데, 이를 적시에 탐지하거나 경고할 수 있는 메커니즘이 없다면, 은행은 기술적 조직, 내부 통제 절차 또는 고객에 대한 부적절한 경고에 과실이 있다는 것이 입증될 경우, 손해 배상 등의 책임을 질 수 있습니다.

은행은 사이버 보안, 개인정보 보호 및 베트남 중앙은행의 전자금융서비스 제공 관련 규정을 준수해야 합니다. 이러한 요건을 충족하지 못할 경우 피해 당사자에게 행정적 또는 민사적 책임이 발생할 수 있습니다.

시민들은 법적 권리와 이익을 보호하고 사기 피해자가 되는 것을 방지하기 위해, 출처를 알 수 없는 애플리케이션에 개인 정보나 생체 정보를 입력하지 않는 등 적극적으로 계정을 보호해야 할 책임이 있습니다. 또한 출처를 알 수 없는 메시지, 화면 또는 설정에 대한 접근 권한을 부여해서는 안 됩니다.

지문, 얼굴 사진 또는 동영상을 소셜 미디어에 공유하지 마십시오. 누군가 지켜보거나 녹화하고 있다고 의심되는 경우 공공장소에서 지문/얼굴 인식 사용을 자제하십시오. 은행 앱을 열고 지문이나 얼굴을 스캔하라는 요청을 받으면 항상 신중하게 확인하십시오. 은행 앱 업데이트 요청을 받으면 은행 공식 웹사이트에서 직접 확인하십시오. 이유가 명확하지 않은 경우 거래를 확인하지 마십시오. 이러한 인증 요청에 대해서는 은행에 직접 전화하여 확인할 수 있습니다.

사기 행위의 징후를 발견하면 즉시 당국과 지역 경찰에 신고하여 사기범을 추적하고 사기를 조기에 막을 수 있도록 해야 합니다.