[베트남 이야기] 2024 베트남 사이버 범죄: 보이스피싱& 딥페이크, 해결방안은 eKYC?
들어가며
사람들의 편의를 높이기 위해 기술은 나날이 발전하고 있죠?
새로운 기술이 개발되고, 제도가 바뀌고, 이것이 일상생활에 정착하기에는 많은 시행착오가 일어날 수 밖에 없죠. 변화의 과도기에서 마주하는 위기를 어떻게 대응하고 슬기롭게 헤쳐나가는 방식이 중요할 것입니다.
다만, 이러한 변화의 틈새를 노린 범죄가 베트남에서 발생한다는 안타까운 소식을 접하여 전해드립니다.
베트남 은행 사칭, 보이스피싱 🎣
7/1부터 베트남에서는 온라인 송금 시, 생체 정보 인증 필요
베트남에서는 2024년 7월 1일 부터 1회 1,000만VND 이상, 하루 누적 2,000만VND 이상 온라인 송금 시 ‘생체 인증이 필요하다’는 점을 이용하여, 보이스피싱 범죄가 발생하고 있습니다. 그들의 수법은 전화를 통해 본인을 은행 직원이라고 소개하며, 생체 인증을 지원하기 위해 개인 정보와 CCCD 사진을 요구하는 방식입니다.
*CCCD (Citizen ID Card) : 베트남의 신분 증명서, 만 14세 이상 베트남 국민 대상 CCCD 카드 발급
2024년 6월 30일 이후, 베트남의 새로운 모바일 뱅킹 서비스에 대한 발표 후, 아직 생체 인증에 익숙하지 않은 베트남 고객들이 어려움을 겪는 상황을 이용하여, 은행 직원을 사칭하는 범죄가 발생한거죠. 보이스피싱 일당들은 사칭 및 계정 탈취 등 악의적인 목적으로 CCCD 사진과 얼굴 사진 외에도 이용자의 자산, 음성과 몸짓 등 정보를 수집하기 위해 영상 통화도 요청했다고 합니다.
잊지 마세요!
베트남 은행은 생체 정보를 수집하기 위해 사람들에게 직접 연락하지 않습니다.
따라서,
- 낯선 사람의 요청에 따라 개인 데이터, OTP 코드를 제공하거나
- 링크를 클릭하거나 애플리케이션을 다운로드하거나
- 지불 계좌, 은행 카드, 신분증에 대한 구매, 판매, 교환, 대여 등
행위는 하지 마시고, 이중 보안을 설정하고 온라인에서 개인 정보 공유를 제한하는 것이 중요합니다.
*관련 칼럼 보기 : 베트남 중앙은행에서 온라인 송금 시, 지문 & 안면 인식 필요
CCCD 스캔 오류, 기술의 허점을 노린 범죄
왜 이런 보이스피싱 범죄가 성행하고 있을까요?
단지 베트남 사람들이 생체정보를 등록하고 모바일 뱅킹 서비스에 대해 익숙하지 않기 때문일까요?
베트남 인구의 40%이상은 젊은 연령 이며, 모바일 보급률 90% 이상, 그리고 다양한 모바일 기반 어플리케이션에 대한 이용 경험이 많은 편에 속합니다.
오히려 NSC(베트남 사이버 보안 회사)의 기술 이사인 Vu Ngoc Son 씨는 CCCD의 NFC를 스캔 시, 많은 사람들이 스캔 오류로 불편을 겪고 있는 현상을 말하며, 이러한 기술 허점이 범죄가 성행하는 원인 중 하나로 봤습니다.
설문조사 응답자 87%가 CCCD 이용 불편 호소
2024년 6월 24일 VnExpress(베트남 신문사)의 온라인 설문조사에 따르면 약 14,000명의 응답자 중 87%가 스마트폰으로 CCCD을 스캔하는 데 어려움을 겪고 있다고 밝혔습니다. 반면에 정상적으로 스캔이 되었다고 응답한 사람은 전체 응답자 중 13%에 불과했습니다.
CCCD 스캔의 불편을 겪은 87%의 응답자 중 일부는 스캔의 오류의 원인이 CCCD의 NFC 칩에 문제가 있다고 추측했습니다.
🍪 쿠키 상식 : NFC란 무엇일까요?
NFC는 Near Field Communication(근거리 무선 통신)의 줄임말입니다. 예를 들어, Apple Pay, Samsung Pay 또는 Google Pay의 모바일 결제 시, NFC 기술을 사용합니다. 이와 함께 자주 언급되는 기술로 RFID(Radio Frequency Identification)가 있으며, 해당 기술은 엘리베이터 마그네틱 카드, 도로 자동 통행료 카드 등 생활 속에서 쉽게 접할 수 있는데요.
RFID와 NFC의 가장 큰 차이점은 작동 범위입니다. RFID는 수십 미터 거리에서도 판독이 가능하지만, NFC는 최대 작동 범위가 수 센티미터입니다. 혹시 “작동 범위가 넓은 게 좋은 게 아닐까?🤔” 라고 생각하셨나요?
NFC의 작동 범위가 비교적 좁은 이유는 실수로 활성화되는 것을 방지하여, 민감한 데이터를 보호하는데 도움이 됩니다.
베트남 딥페이크 범죄 위험 방지 중요
베트남 온·오프라인 신분증과 개인정보
베트남의 온·오프라인 신분증에는 단순한 인적 사항에 관한 정보 뿐만 아니라, 얼굴(사진), 지문, 홍채 등 생체 정보를 수집하고 담을 수 있습니다. 개인정보 보안 기술을 더욱 중요하게 챙겨야 하는 이유죠.
베트남 딥페이크 범죄 대안책 마련은 선택이 아니라 필수!
베트남 온라인 거래 급증: 2,700만 개 온라인 계정, 1,290만 개 은행 카드
VNPT eKYC 솔루션 도입으로 2억 VND 상당 110억 건 온라인 거래
5월 30일 하노이에서 열린 사이버 보안 회의에서 VNPT eKYC(베트남의 통신 회사의 전자 식별 솔루션)의 대표는 베트남의 온라인 거래가 극적으로 증가했다고 발표했습니다. 또한, eKYC 솔루션을 적용하여, 2억 VND 상당의 110억 건의 온라인 거래가 이뤄졌다고 밝혔죠.
이때 문제는 딥페이크 기술을 악용한 범죄자는 가짜 이미지를 만들어 온라인 eKYC 신원 인증 프로세스 중간에 삽입하여 계정을 탈취할 수 있다는 겁니다.
또한, VNPT eKYC 관계자는 해당 장치의 API에 대한 10억 개 이상의 쿼리 중 1,600만 건 이상의 얼굴 사기 사례와 680만 건의 가짜 또는 표준 이하 문서가 감지되었다고 밝히며 경각심을 주었죠.
역설적으로 베트남에서는 eKYC 계정을 활용한 신원 인증이 중요하기 때문에 오히려 사이버 범죄자들의 표적이 될 수 있습니다.
딥페이크 범죄는 어떻게 발생할까요?
eKYC에서 가장 중요한 두 가지 데이터는 문서와 얼굴 사진입니다. 사람이 진짜인지 확인하기 위해 도구는 사람의 얼굴을 문서의 사진과 비교하고 왼쪽과 오른쪽으로 기울이는 등 필요한 움직임을 통해 얼굴이 “실시간” 데이터인지 증명하도록 사용자에게 요청합니다.
범죄자들은 소셜미디어(SNS)에 게시된 이미지를 통해 사용자의 데이터를 쉽게 수집할 수 있거나, 앞서 소개한 보이스피싱 등 어둠의 루트를 통해서 사진과 개인정보를 수집할 수도 있습니다. 또한, 이제는 디자인 툴을 다루지 않은 일반인 일지라도, 생성형 AI(Gen AI)가 발전함에 따라 딥페이크로 가짜 얼굴 사진을 만드는 것은 어렵지 않죠.
이와 관련하여, 앞서 말한 ‘사이버 보안 회의’에서 딥페이크 기술을 이용한 eKYC 시스템 공격 시뮬레이션을 진행했다고 하는데요. 시뮬레이션 결과 베트남의 CCCD의 이미지를 활용해서 eKYC 시스템을 속일 수 있음을 증명했습니다. 즉, 진짜 사람의 얼굴이 아니라 얼굴 사진으로 인증을 할 수 있는 거죠.
이처럼 악용된 딥페이크 기술은 eKYC 시스템과 같은 신원 확인 시스템에 위협이 될 수 있습니다.
eKYC의 허점을 노리는 딥페이크 범죄
앞서 말한 사이버 보안 회의에 참석한 관계자는 “사용자의 통신(보통 전화 통화)과 서버 사이에 개입하여 인증하는 사이 데이터를 주입하는 MitM(Man-in-the-Middle) 공격이 자주 발생하고 있다.”고 밝혔습니다. 또한, “현재 베트남에서는 모바일 애플리케이션 보호 솔루션을 일반적으로 사용할 수 없기 때문에 위의 공격 방법에서 사기꾼이 애플리케이션의 기존 취약점을 악용하는 경우가 많다”고 말했습니다.
VNPT(베트남의 통신 회사) 담당자는 또 다른 범죄 수법으로 컴퓨터에서 전화 소프트웨어를 사용해서 HDMI 어댑터로 대체된 휴대폰에 “가상 카메라” 또는 “하드웨어 삽입”을 연결하는 방식도 주의해야 한다고 거론했습니다.
베트남 딥페이크 범죄에 대응하는 Viettel eKYC
현재 비엣텔(Viettel, 베트남 통신기업이자 대기업)은 베트남의 CCCD의 NFT의 내장형 칩 인증 서비스를 제공하는 주요 기업이며, Viettel eKYC 솔루션을 함께 제공하고 있습니다. 해당 기술은 전자 식별 및 인증 프로세스 중에 국가 CCCD 데이터베이스에 연결되어 생체 인식 사기 또는 위조를 몇 초 만에 자동으로 확인, 감지 및 방지하는 역할을 수행하고 있습니다.
현재 Viettel eKYC은 디지털 서명 발급, 전자 계약 체결, 대면 시간 확인, 여러 은행의 계좌 개설 및 카드 발급, 신용 사기 통제 등 베트남의 다방면에서 적용되고 있기도 하죠.
2024년 6월 24일, Viettel eKYC는 레벨 2 얼굴 스푸핑 방지에 대한 ISO 30107-3 국제 인증을 받았으며, 이를 통해 가짜 2D, 3D 이미지 및 딥페이크 비디오를 탐지할 수 있다고 발표했습니다.
Tayllorcox(ISO 인증 기관)를 통해 진행한 테스트에서 Viettel eKYC은 사용자의 얼굴과 가짜 형태를 혼동하지 않고 2D 및 3D 가짜 형태에 대해 높은 정확도를 보였다고 하는데요. Tayllorcox은 2D 및 3D 얼굴 재구성 양식을 “위조”하는 등 테스트를 3,000번 이상 실시하여 통과했으며, Viettel eKYC의 오류율은 0%, 허용 기준은 1%이며 실제 사용자를 거부하는 경우는 없다고 테스트 결과를 발표했습니다.
🍪 쿠키 상식 : 생체 인식 시스템의 레벨1과 레벨 2의 차이가 무엇인지 궁금하신가요?
- 레벨1 : 간접적인 얼굴 캡처, 종이에 인쇄된 얼굴, 카드에 인쇄된 얼굴 등 기본적인 2D 사기 탐지
- 레벨2 : 실리콘 마스크, 특수 스캐너로 재구성된 얼굴, 딥페이크 비디오 등 보다 정교한 3D 사기 탐지
마무리하며
이번 칼럼에서는 베트남의 사이버 범죄(딥페이크 및 보이스 피싱)와 eKYC의 기술적 대안 현황에 대해 한번 살펴보았는데 재미있으셨을 까요?
사견으로 베트남의 eKYC 솔루션은 일상생활 다방면에서 녹아들 것이라 예상되기 때문에, 보안 기술이 앞으로 더욱 중요해 질 것으로 보입니다.바로 이때, #개인정보 #데이터 #보안 #클라우드 #메가존클라우드를 따로 분리해서 생각할 수 없겠죠?
글로벌 진출을 준비 중인 보안 기술 기업이라면, 메가존클라우드 베트남 지사와 함께 동남아로 시장에 대해 상담해보시는 건 어떠세요?
*이메일 문의: ask_vietnam@megazone.com
그럼 저는 또 다른 재미있는 주제로 다시 찾아뵙겠습니다. 😘
#eKYC #딥페이크 #DeepFake #MitM #Man-in-the-Middle #사이버범죄 #디지털범죄 #Fraud #고비엣 #고베트남 #베트남진출 #해외진출 #메가존 #메가존클라우드 #메가존클라우드베트남 #GoViet #GoVietnam #GoGlobal #MZC #Megazone #MegazoneCloud #MegazoneCloudVietnam