2022년에는 펜실베니아 카운티 선거 관리원을 표적으로 삼은 악성 이메일이 5월 17일 예비 선거를 전후하여 급증하여 6개월 만에 546% 이상 증가했다. 이러한 전통적인 피싱 공격 외에도 악의적인 대규모 언어 모델(LLM)의 가능성이 결합되어 이번 선거 시즌에는 일상적인 미국인이 훨씬 더 현실적인 사기의 표적이 될 가능성이 높다.
특히 AI가 우리 일상생활에 통합되면서 정부는 이에 주목하기 시작했다. 예를 들어, 미국 사이버보안 및 인프라 보안국(CSA)은 선거 보안을 강화하는 프로그램을 시작했다. 이는 이번 선거 시즌에 잠재적인 악의적 행위자로부터 자신과 데이터를 보호해야 한다는 정부와 대중 모두의 요구가 커지고 있음을 보여준다.
그리고 더욱 최근에는 2024년 뮌헨 보안 회의에서 20개의 기술 및 AI 기업이 "2024년 선거에서 AI의 기만적 사용을 방지하기 위한 기술 협정"에 서명했다. 이는 예방, 출처, 탐지, 대응적 보호, 평가 및 대중 인식을 포함하여 선거 및 선거 과정을 보호하기 위한 기본 원칙을 강조한다.
Microsoft, Amazon, Google을 비롯한 주요 기술 업체로 구성된 이는 정치적 성향을 넘어 데이터 보안이 남은 선거 기간 동안 시민과 사이버 전문가 모두가 관심을 가질 주제라는 업계의 중요한 변화를 의미한다. 또한 생성 AI는 악의적인 행위자가 공격을 수행하는 방식에 큰 영향을 미치므로 매우 현실적인 사기를 더 쉽게 만들 수 있다.
선거 사기의 유형
선거 시즌에만 사기가 증가하는 것은 아니지만, 예비선거나 총선거에서 투표할 때가 되면 여러 가지 방법과 기술이 증가하는 경향이 있다. 이들 각각은 개인의 계정에 대한 접근이나 금전적 이득을 얻는 일반적인 목표로 사용되며, 이에 대한 결과는 중대한 결과를 초래할 수 있다. 실제로 딥페이크 사기만으로 미국은 34억 달러 이상의 손실을 입었다.
선거 시즌에 볼 수 있는 사기의 예는 다음과 같다:
●피싱: 피싱은 일반적으로 대상 시스템에 악성 코드를 설치하여 민감한 소비자 정보에 액세스하기 위해 가짜 링크, 이메일, 웹사이트를 사용하는 것을 의미한다. 그런 다음 이 데이터는 다른 신원을 도용하고, 귀중한 자산에 액세스하고, 이메일 스팸으로 받은 편지함에 과부하를 주는 데 사용된다. 선거 시즌에는 피싱 이메일을 기부 이메일로 위장하여 시민이 링크를 클릭하도록 유도하여 후보에게 기부한다고 생각하지만 실제로는 나쁜 행위자의 계략을 빌릴 수 있다.
●자동녹음전화, 사칭 및 AI 생성 음성 또는 챗봇: 뉴햄프셔에서 자동녹음전화가 바이든 대통령을 사칭하여 시민들에게 투표하지 말라고 촉구한 경우에서 볼 수 있듯이, 선거 시즌에는 허위로 신뢰를 얻고 민감한 정보를 얻기 위해 여론 조사원이나 정치 후보를 사칭하는 사례가 증가할 것이다.
●딥페이크(Deepfakes): AI의 등장으로 오늘날 딥페이크는 믿을 수 없을 정도로 현실적이 되었으며 상사나 심지어 좋아하는 유명인을 사칭하는 데 사용될 수 있다. 딥페이크(Deepfake)는 AI를 활용해 얼굴을 대체하거나 표정이나 음성을 조작하는 동영상이나 이미지를 말한다. 우리가 매일 접하는 딥페이크 중 다수는 동영상 형식으로, 한 번도 해본 적이 없는 말이나 행동을 묘사하는 조작된 클립이 포함된다. 이는 후보를 사칭하기 위해 딥페이크가 생성될 위험이 있는 이번 선거 시즌에 특히 만연할 것으로 예상된다. 영국 등 미국 이외의 지역에서도 딥페이크가 선거를 조작하는 데 사용될 수 있다는 우려가 있다.
AI가 선거에 미치는 영향
이러한 사기 외에도 AI 알고리즘은 더욱 설득력 있고 매력적인 가짜 메시지, 이메일, 소셜 미디어 게시물을 생성하여 사용자를 속여 민감한 정보를 포기하도록 만들고 있다.
Microsoft와 OpenAI는 위협 브리핑을 발표했다. "AI 시대의 사이버 위협 탐색 및 방어 강화"에서는 러시아, 북한, 이란, 중국의 5개 위협 행위자가 모두 소프트 타겟에 대한 작전을 강화하기 위한 새롭고 혁신적인 방법으로 이미 생성AI를 사용하고 있다”고 언급했다.
챗봇, 음성 복제 등과 같은 사기는 잘못된 정보를 퍼뜨리고, 악성 코드를 개발하고, 개인을 사칭하는 도구인 AI를 통해 한 단계 더 발전한다. 예를 들어 음성 복제 도구를 사용하면 선거 인물의 음성이나 얼굴을 거의 완벽하게 복제할 수 있다. AI를 사용하면 콜센터에 가짜 유권자 전화가 넘쳐 잘못된 정보로 압도될 수도 있다.
이번 선거 시즌 캠페인의 주요 수단인 소셜 미디어가 가장 경계심이 많을 것이다. 유권자들은 자신이 투표했는지 공유하고 자신이 가장 좋아하는 후보에 대한 지지를 자신의 페이지에 표시할 수도 있다. 그러나 올해는 AI 피싱(스미싱 및 비싱 포함) 사기가 새롭게 증가하면서 새로운 위협이 되고 있다.
누군가가 특정 후보자에 대한 지지를 자신의 소셜 미디어 계정에 게시했는지 고려해보자. 몇 분 후 그들은 캠페인 관리자로부터 보낸 것처럼 보이는 이메일을 받게 되는데, 이는 지원에 대해 감사를 표하는 것이다. 해당 잠재적 피해자는 링크를 클릭하여 자격 증명 수집, 금전적 손실 또는 맬웨어 설치를 통해 해당 이메일에 참여할 수 있다. 거의 실시간으로 표적 피싱 캠페인을 모니터링, 생성 및 전달하는 AI의 능력으로 인해 겉으로 보기에는 무해해 보이는 소셜 미디어 게시물이 이제 사용자에게 새로운 차원의 현실적인 피싱 계획을 제공한다.
이번 선거 시즌에도 계속 경계심을 유지해야 한다.
피싱과 같은 공격은 악의적인 행위자가 가장 지식이 풍부한 사람도 빠져나갈 수 있는 현실적인 사기를 만드는 일반적인 방법이 될 것이다. 생성 AI 시대에는 악의적인 행위자가 민감한 정보에 더 빠르게 액세스할 수 있도록 이러한 잠재적인 영향이 가속화되었다.
기업이 데이터와 직원을 보호하기 위해 기술을 배포하는 동안 소비자는 사기를 발견하고 방지하는 기술도 알고 있어야 한다. 이들 중 일부는 다음과 같다:
●임의의 또는 철자가 틀린 하이퍼링크 또는 이메일 제목 줄 찾기
●발신자를 알 수 없는 링크를 클릭하지 않음
●가능한 경우 이중 인증 또는 생체 인식 인증을 사용
●소셜 미디어 계정을 비공개로 설정
●악의적인 활동 신고
●다른 동료나 가족을 교육
●선거 후보자의 진위 여부를 확인하려면 .gov 웹사이트 도메인을 찾기
●직장에 IT가 있는 경우 다음 사항에 대해 질문할 수도 있다:
-제로 트러스트 네트워크
-피싱 방지 이중 인증
-이메일 보안 도구(DMARC, DKIM, SPF)
-콘텐츠에 디지털 서명하는 방법(또는 통신을 확인하기 위해 암호화된 다른 방법)
선거 시즌은 경계가 높은 시기이지만 공격은 언제든지 발생할 수 있으므로 사이버 보안 기반을 연중 내내 강력하고 신뢰할 수 있도록 하는 것이 중요하다.