칼럼 | AI로 늘어나는 북한 해커의 공격, 3가지 조치로 기업을 보호하자

사기꾼들에게 생성형 AI는 무료로 제공되는 강력한 무기와 같다. 인터뷰 코파일럿(Interview Copilot)이나 센세이 AI(Sensei AI)와 같은 소프트웨어는 모의 인터뷰를 통해 준비를 돕는 것뿐만 아니라, 실제 인터뷰 중 실시간으로 맞춤형 답변을 생성해준다. 이러한 도구들은 대부분 무료 버전이나 체험판을 제공하며, 개인화된 답변, 실시간 음성 인식, 면접관이 사용하는 언어의 즉각 번역 기능을 갖추고 있다. 일부 도구는 면접관이 탐지할 수 없고, 특별한 조작 없이 간편하게 이용할 수 있다.

생성형 AI로 면접을 통과한 위협 행위자는 딥페이크 도구를 이용해 가짜 신분증과 프로필 사진을 만든다. 이때 실제 미국 시민의 개인 정보가 사용된다. 노비포의 사례에서 공격자는 이미지 플랫폼 사이트에서 쉽게 구할 수 있는 이미지로 딥페이크 프로필 사진을 만들었고, 도용된 개인 정보를 결합해 회사의 채용 및 배경 조사 절차, 4번의 영상 인터뷰와 신원 확인 절차를 모두 통과했다.

참고하면 좋은 FBI 지침

현재의 채용 절차는 이런 새로운 위협을 막기에 충분하지 않다. 일부 기업들은 새로운 방어책을 실험하고 있지만, 이마저도 부족하다. 예를 들어, 월스트리트저널에서 인터뷰했던 한 경영자는 면접에서 후보자에게 영상 통화로 신분증을 보여주도록 요청했고, 신분증과 얼굴이 일치하는지 확인한다고 밝혔다. 그러나 딥페이크로 만들어진 가짜 신분증은 본인인증(KYC) 소프트웨어도 통과할 수 있을 만큼 정교해져 있으며, 화질이 그다지 좋지 않은 영상 통화에서는 특히 진짜처럼 보이기 쉽다.