목소리 딥페이크를 이용한 피싱공격 - 보안기사 읽기 1주차 7일

 

그 access priv을 가진 직원의 목소리 샘플을 체취할 수 있다면

딥페이크하는건 쉬울 것입니다. 

그 톤을 입혀 유지하면서 실시간으로 통화하는 것은 

매우 쉽지 않을까요

예를 들어 AI가 발전함에 따라 가수 목소리 샘플을 통해 원하는 멜로디의 음악을 만드는 것과 같은 이치입니다.

 

포춘500 대기업에 소프트웨어를 개발해주는 플랫폼인 Retool이 당했습니다.

  

그 중 하나의 고객사 okta에 SMS피싱을 통해 IT 임직원을 노렸고 회사 내부 security controls에 들어왔습니다.

 

retool은 여기서 구글을 상대로 고발을 했는데

'Use Authenticator without an account.'를 허용하면 로그인없이 OTP로 접근 가능합니다. 

2 MFA을 했음에도 OTP가 Authenticator에 저장되어서 공격자는 나머지 하나만 인증하면 VPN에 들어올 수 있었다는 겁니다. 

내부에 온다음엔 internal admin 시스템 권한을 얻었겠죠