iProov, 다크웹 KYC 운영 폭로

진짜 신원 문서와 함께 얼굴 ID 이미지를 조작해 온 다크웹 범죄 조직이 위협 정보 연구원들에 의해 밝혀졌습니다. 신원 도용에 대한 이러한 정교한 접근 방식에는 ID 농업 사업을 구축하는 데 사용되는 금전적 보상을 위해 기꺼이 정보를 교환하는 것이 포함됩니다. iProov의 생체인식 위협 인텔리전스 부서의 연구원들은 다크 웹에서 신원 보호 시스템을 우회하도록 설계된 간단하면서도 정교한 작업으로 보이는 것을 발견했습니다.

그들은 이 작전이 진짜 신원 문서와 이미지의 체계적인 수집을 통해 신원 확인 시스템을 손상시키는 것으로 설명합니다. 익명의 범죄 위협 그룹은 은행 및 기타 금융 기관에 대한 신원 사기를 방지하는 데 핵심적인 역할을 하는 KYC(고객 파악) 인증 프로세스를 무력화하기 위해 특별히 고안된 상당한 양의 신원 문서와 해당 얼굴 이미지를 축적했습니다. 흥미롭게도 이 데이터는 도난당한 데이터베이스에서 긁어낸 것이 아니라 사용자에게 정보 대가를 지불함으로써 얻은 것입니다.

이러한 통찰력은 범죄자들이 실제 신원 데이터를 쉽게 확보할 수 있음을 보여주며 기존 확인 방법을 심각하게 훼손합니다. iProov 보고서는 검증 시스템이 직면한 다층적 과제를 간략하게 설명하고 공격 프로세스를 분석하여 조직이 사기 애플리케이션에 사용된 가짜 자격 증명과 진짜 자격 증명을 모두 탐지해야 하는 방법을 강조합니다.

1. 기존 방법으로는 변경되거나 위조된 문서를 탐지할 수 있지만 정품 문서를 사용하면 이러한 탐지가 효과적이지 않습니다.

2. 알고리즘은 제출된 사진을 관련 신분증 문서와 정확하게 비교할 수 있습니다. 그러나 합법적인 얼굴 이미지와 해당 신원 문서를 결합하는 것은 기본적인 확인 시스템에 문제가 됩니다.

3. 기본 방법부터 3D 모델링, 실시간 애니메이션과 같은 고급 기술에 이르기까지 다양한 수준의 공격 정교함이 존재하지만 조직은 위협의 전체 스펙트럼을 인식해야 합니다.

iProov는 신원 확인 문제를 노출합니다

iProov의 최고 과학 책임자인 Andrew Newell은 개인이 단기적인 금전적 이익을 위해 자신의 신원을 타협하여 범죄자에게 정교한 사칭 사기에 사용할 수 있는 완전하고 실제 신원 패키지를 제공하려는 의지에 대해 우려를 표명했습니다. 이렇게 진짜 문서와 일치하는 생체 인식 데이터가 결합되면 기존 방법을 통한 탐지가 극도로 어려워집니다. iProov 연구원은 신원 사기를 효과적으로 완화하기 위해 다층적인 접근 방식을 권장합니다.

– 제시된 아이덴티티를 공식 문서와 일치시킵니다.

– 내장된 이미지 및 메타데이터 분석을 사용하여 악성 미디어를 탐지합니다. – 검증이 실시간으로 진행되도록 보장하기 위해 고유한 질문-응답을 활용합니다. – 지속적인 모니터링, 사고 대응, 사전 위협 사냥, 공격 시나리오 리버스 엔지니어링을 위한 전문 지식 활용을 통해 위협을 탐지, 대응 및 완화합니다.

iProov에 따르면 이러한 다층 전략은 신원 확인 시스템을 스푸핑하려는 공격자의 노력을 상당히 복잡하게 만들고, 심지어 지능형 공격조차도 진정한 인간 상호 작용의 특성을 유지하면서 이러한 결합된 보안 조치를 무력화하는 데 어려움을 겪습니다. Group-IB의 연구원들은 얼굴 생체 인식의 생체 인식이 더 이상 검증의 표준이 아니라는 것을 이미 입증했습니다. AI가 생성한 딥페이크 이미지를 사용하는 얼굴 교환 기술은 단 한 장의 사진을 사용하여 실시간으로 한 얼굴을 다른 얼굴로 바꿀 수 있습니다.

이러한 기술은 실시간 표정과 움직임을 설득력 있게 모방하여 매끄러운 특성으로 인해 얼굴 인식 시스템을 속입니다. 또한 앱 복제와 함께 실시간 얼굴 인식을 모방하는 가상 카메라 소프트웨어와 사전 녹화된 비디오를 사용하면 기존 사기 탐지 시스템의 심각한 취약점이 드러납니다. 요약하자면, 다크 웹의 얼굴 ID 팜 위협은 얼굴 이미지와 신분증 판매를 고려하는 모든 사람에게 경고가 되는 이야기입니다.

그러한 행동으로 인해 발생하는 장기적인 위험과 보안 위협에 비하면 즉각적인 금전적 이익은 미미합니다. 이는 개인 데이터를 보호하고 보안 및 개인 정보 보호를 심각하게 손상시킬 수 있는 활동에 참여하지 말라는 엄연한 알림입니다.