작성자: Ofer Friedman
보도일자: 2025년 1월 21일
출처: Biometricupdate.com


전문적인 사기꾼들이 생성형 AI와 랜덤화 도구를 활용하여 공격을 강화하면서, 이들은 좁고 점점 닫혀가는 기회의 창을 악용하고 있습니다. 이러한 고급 AI 도구는 사기꾼들이 끝없이 다양한 가짜 신원을 생성할 수 있게 하며, 동일한 가짜 신원이 반복되지 않도록 만듭니다. 그러나 AI로 생성된 사기의 급증은 단순히 도구가 더 발전했기 때문만이 아니라, 디지털 신원(Digital ID)과 재사용 가능한 검증 자격(RVC)의 느리고 단편적인 도입으로 인해 발생한 결과이기도 합니다.

디지털 지갑과 RVC가 글로벌 표준이 되면 신원 위조자들은 엄청난 도전에 직면하게 될 것입니다. 이러한 시스템을 보호하는 비대칭 암호화를 깨는 것은 현재의 컴퓨팅 능력으로는 사실상 불가능합니다. 양자 컴퓨팅이 해결책을 제공할 수 있을지는 모르지만, 그것조차도 최소한 10년 이상 남아 있습니다. 그렇다면, 사기꾼들을 위한 이 창을 닫는 데 얼마나 가까워졌을까요?

디지털 ID의 약속은 빠르게 현실이 되어가고 있습니다. 미국과 호주에서부터 유럽연합, 심지어 아프리카 일부 지역에 이르기까지 디지털화되고 암호화된 형태의 신원 확인을 위한 파일럿 프로그램과 운영 프로그램을 도입하고 있습니다.

하지만 디지털 ID의 광범위한 채택을 실현하기 위해서는 여전히 여러 장애물을 극복해야 합니다. 시스템 간의 상호운용성 문제부터 정부와 서비스 제공업체의 폭넓은 수용에 이르기까지 해결해야 할 과제가 남아 있습니다. 이러한 문제들이 완전히 해결되기 전까지 사기꾼들은 계속해서 번성할 것입니다.

단편적인 도입: 사기꾼들의 천국

디지털 ID는 원활하고 안전한 신원 확인을 제공할 잠재력을 가지고 있지만, 전 세계적인 도입은 결코 통합적이거나 표준화되어 있지 않습니다. 각국은 다양한 기준을 따르고 있으며, 심지어 동일한 지역 내에서도 상호운용성은 제한적입니다.

예를 들어, 호주에서는 모바일 신원 확인 프로그램이 진행 중이지만, 이는 2026년까지 열리지 않을 예정이며, 완전한 기능을 갖추기까지는 2030년경으로 예상되고 있습니다. 비슷하게, 미국은 통합된 연방 시스템이 없으며, 주정부와 기업들이 디지털 지갑 실험을 진행하고 있습니다. 이러한 단편적인 환경은 신원 확인의 허점을 악용할 수 있는 충분한 기회를 사기꾼들에게 제공합니다.

디지털 ID가 대규모로 작동하려면 국경을 넘어 사용할 수 있어야 하고, 보편적인 표준을 따르며, 폭넓게 수용되어야 합니다. 그러나 이러한 조건이 충족되기 전까지는 사기꾼들이 우위를 점하게 됩니다. 시스템이 최신 디지털 트렌드에 발맞추기 위해 고군분투하는 사이, 범죄자들은 생성형 AI 도구를 이용해 정교한 가짜 ID를 만들어 이 기회를 활용하고 있습니다. 이들은 단순한 아마추어 사기가 아니라 세심히 계획된 대규모 작전입니다.

신원 사기에 있어 AI의 역할

조직들이 디지털 전환 이니셔티브를 시행하면서도, 많은 곳이 AI 기반 사기에 대한 준비가 턱없이 부족한 상황입니다. 대부분은 AI로 생성된 가짜 신원을 탐지할 방어체계를 아직 갖추지 못했으며, 이로 인해 악용될 위험에 노출되어 있습니다. AI 사기를 탐지하는 기술은 여전히 초기 단계에 머물러 있으며, 설령 존재하더라도 이를 채택하지 않는 조직이 많습니다.

AI 사기를 효과적으로 방어하려면 기업은 두 가지 충위의 방어 전략이 필요합니다:

• 개별 사례 수준의 탐지: 사기 탐지 도구는 각 신원 문서나 셀피 제출 건을 매우 정밀하게 분석하여 개별적인 가짜를 식별해야 합니다.
• 트래픽 수준의 탐지: 여러 사례에서 반복되는 행동을 포함한 사기의 광범위한 패턴을 이해하는 것은 조직적인 사기 집단을 식별하는 데 필수적입니다.

이러한 방어 기술이 점차 등장하고 있지만, 많은 조직이 이 두 가지 보호 수준을 모두 갖추지 못한 상황입니다. 그 결과, AI를 활용한 사기꾼들이 허점을 뚫고 활동할 수 있는 여지가 남아 있습니다.

NIST의 진화하는 가이드라인과 앞으로의 과제

미국 국립표준기술연구소(NIST)는 최근 디지털 신원 지침(SP 800-63 개정 4판)의 두 번째 초안을 발표했습니다. 이번 업데이트는 보안과 접근성의 균형을 맞추는 것을 목표로 하며, 디지털 지갑이나 생체 인증과 같은 신기술에 대한 지침을 제공합니다.

그러나 이러한 발전에도 불구하고 여전히 격차가 존재합니다. 특히 사회공학 공격과 AI를 활용한 사기에 대한 보호 측면에서 그렇습니다. 예를 들어, NIST의 업데이트된 지침은 피싱 저항 인증을 강조하며 고급 사회공학 공격에 대한 보호 요건을 포함하고 있습니다.

하지만 이러한 솔루션을 대규모로 배포하는 현재의 채택 속도와 복잡성은 조직들을 여전히 취약한 상태로 남겨두고 있습니다. 이러한 지침이 보편적으로 구현되기 전까지 사기꾼들은 이러한 취약점을 계속 악용할 것입니다.

디지털 ID의 미래: 시간과의 싸움

디지털 ID 채택이 가속화됨에 따라, 이것이 신원 확인 방식을 혁신할 것이라는 점은 의심의 여지가 없습니다. 그러나 광범위한 사용으로 가는 길에는 여러 도전 과제가 존재합니다. 정부의 우선순위, 대중적 논의, 법적 장애물이 채택 과정을 지연시키는 주요 요인으로 작용하고 있습니다.

예를 들어, 모바일 운전면허증(mDLs)은 이미 미국의 13개 주에서 사용이 가능하지만, 이러한 디지털 ID가 전통적인 신원 확인 방법을 대체할만큼 보편적이고 안전해지려면 상당한 기반 시설이 필요합니다.

사기꾼들은 이러한 지연을 악용하고 있습니다. 딥페이크, 신원 사기, 허위 정보가 증가함에 따라 안전하고 보편적으로 수용 가능한 디지털 ID의 필요성은 글로벌 보안의 핵심 문제가 되고 있습니다.

이제 데이터 보호뿐만 아니라 생체 정보까지 보호해야 하는 과제가 생겼습니다. 생체 정보는 훔치거나 복제하기 더 어렵기 때문입니다. 이미 대량의 개인 정보가 데이터 유출로 유출된 상황에서, 생체 정보와 암호화된 신원 확인 시스템이 사기 방지의 미래를 대표하고 있습니다.

AI 기반 사기와의 전쟁에서 디지털 ID의 도입은 판도를 바꾸는 역할을 할 것입니다. 하지만 전 세계적으로 디지털 ID가 완전히 보급되기 전까지, 조직들은 다층적인 AI 사기 탐지 시스템에 투자해야 합니다. 정부와 기관들이 보편적 표준을 마련하는 동안, 사기꾼들은 여전히 허점을 악용할 것입니다. 그 어느 때보다 위험이 크고, 지금이 바로 행동에 나서야 할 때입니다.

저자 소개

오퍼 프리드먼(Ofer Friedman)은 신원 확인 및 ID 관리 자동화 분야에서 세계적인 기술 리더인 AU10TIX의 최고 사업 개발 책임자입니다. 그는 신원 확인 및 컴플라이언스 기술 분야에서 15년 이상의 경험을 보유하고 있으며, PayPal, Google, Payoneer, Binance, eToro, Uber, Rapyd, Saxo Bank와 같은 잘 알려진 기업들과 함께 일해왔습니다. 오퍼는 BBDO와 레오 버넷(Leo Burnett) 에이전시에서 광고 및 마케팅 분야에서 경력을 시작했습니다. LinkedIn을 통해 그와 연결할 수 있습니다.