딸 목소리 분명한데…딥보이스 피싱엔 “둘만 아는 질문을”

경찰청은 지난해 10월 유튜브에 ‘내 딸인 줄 알았는데’라는 제목의 공익 영상을 올려 딥보이스 보이스피싱에 대한 주의를 당부했다. 경찰청 유튜브 갈무리

☞한겨레 뉴스레터 H:730 구독하기. 검색창에 ‘한겨레 h730’을 쳐보세요.

인공지능(AI)으로 특정인의 목소리까지 위조하는 보이스피싱 범죄 수법이 갈수록 교묘해지는 가운데 전문가들은 당황하지 말고 반드시 여러차례 질문을 던지며 상대방이 실제 당사자가 맞는지 확인을 거쳐야 한다고 당부했다.

정수환 숭실대 정보통신전자공학부 교수는 20일 시비에스(CBS) ‘김현정의 뉴스쇼’ 라디오 프로그램에서 “목소리만 들어서 합성이냐 아니냐(를) 구분하기는 어려운 단계에 와 있다”며 “당황하지 말고 본인 확인을 반드시 한번 하는 단계를 거치는 것이 이런 범죄에 대응하는 방법”이라고 했다.

‘딥보이스’(목소리 딥페이크) 보이스피싱은 인공지능 딥페이크 기술을 활용해 가족이나 지인의 목소리를 모방하는 신종 범죄 수법이다. 진행자의 목소리를 복제해 ‘선배 큰일 났어요. 앞에서 사고가 났거든요. 정말 죄송하지만 100만원만 보내주실 수 있으세요? 회사 들어가서 바로 드릴게요’라는 딥보이스 보이스피싱 시연에 진행자도 “언뜻 들으면 제 목소리 특징이 있다”며 놀라워했다. 정 교수는 “샘플이 더 많이 있으면 더 품질이 좋은 음성을 만들 수가 있는데 최근 기술이 급격하게 발전하면서 5초 샘플만 있어도 된다”며 “최근에는 2초 샘플 갖고도 어느 정도 퀄리티(품질)가 나온다”고 말했다.

경찰청은 지난해 10월 유튜브에 ‘내 딸인 줄 알았는데’라는 제목의 공익 영상을 올려 딥보이스 보이스피싱에 대한 주의를 당부했다. 경찰청 유튜브 갈무리

경찰청은 지난해 10월 유튜브에 ‘내 딸인 줄 알았는데’라는 제목의 영상을 올려 딥보이스 보이스피싱에 대한 주의를 당부한 바 있다. 영상 속 딸은 어머니에게 전화해 ‘휴대전화 수리비 80만원을 보내달라’고 부탁했다. 그러나 아무 일도 없었다는 듯이 현관문으로 딸이 들어오자 놀란 어머니는 그 자리에서 얼어붙었다. 목소리의 주인공은 바로 딸로 둔갑한 보이스피싱 사기단이었다. 이 영상의 조회 수는 이날 기준 21만건에 이른다. 실제 지난 2021년 10월 아랍에미리트(UAE)의 한 은행은 평소 거래하던 대기업 임원의 목소리를 흉내 낸 딥보이스 보이스피싱에 속아 3500만달러(당시 약 420억원)을 송금한 것으로 밝혀지기도 했다.

정 교수는 목소리만 듣고 합성 여부를 구분하기 어려워진 만큼 당사자들만 알 수 있는 질문으로 본인인지 확인해야 한다고 당부했다. 정 교수는 “본인 확인을 위해 예를 들면 본인들만 아는 질문을 한다든가 서로 대화를 하면 준비가 안 된 답변이라든가 이런 데서는 품질이 떨어질 수도 있고 답변을 못 할 수도 있다”며 “내가 물어본 거에 대해 저쪽이 답변해야 하는데 그 답변이라는 게 실시간으로 음성을 만들어내기는 어렵다“고 말했다.

정 교수는 “문자를 집어넣어 음성을 얼른 합성해 답변할 수 있지만 그 답변 내용을 모를 수도 있고 단어나 이런 것들이 준비가 전혀 안 되고 트레이닝이 잘 안 된 답변 같으면 어색하게 들린다”고 설명했다. 그러면서 “일종의 패스워드 비슷하게 본인들만 아는 거를 (질문해 본인 확인을 거쳐야 한다)”며 “예를 들면 ‘너 누구 맞냐 그러면 너 지난번에 이렇게 했는데 그때 어떻게 했어’(라고) 이런 식으로 (질문)했을 때 저쪽에서는 답을 모르면 답할 수 없을 것”이라고 설명했다.

조윤영 기자 jyy@hani.co.kr