AI 음성 데이터 4TB 유출...보이스 클로닝 악용 위협 심각

[한국정보기술신문] 지난 4월 4일 해킹 조직 Lapsus$가 AI 훈련 회사 Mercor의 음성 데이터 4TB를 공개했다. 이번 유출에는 약 4만명의 AI 음성 계약자 정보가 포함되어 있다. 영상 스튜디오 수준의 깨끗한 음성 녹음과 정부 발급 신분증 사본이 함께 포함된 점이 특히 위험하다.

유출된 각 음성 샘플은 계약자당 2~5분 분량으로 녹음됐다. 보이스 클로닝 서비스는 단 15초의 음성으로도 작동하므로, 이번 유출 데이터는 충분히 악용될 수 있다. 신분증과 함께 제공된 음성 정보는 '클론'과 '신원확인'이라는 두 가지 필수 요소를 한 번에 갖춘 셈이다.

실제로 해커들은 은행 보안 우회, 고용주에게 걸려오는 사칭 전화, 신분증 위조 영상 통화 사기, 보험금 사기, 노인 대상 낭만 사기 등 최소 5가지 공격 방식을 이미 실제로 사용 중이다. 전자 신원 확인 기술이 보편화된 현 시점에서 음성 정보의 악용은 예상보다 심각할 수 있다.

유출 10일 안에 5건의 계약자 소송이 제기됐다. 소송인들은 Mercor가 음성 표본이 영구적인 생체 인식 정보라는 사실을 명확히 설명하지 않았다고 주장하고 있다. 회사 측이 음성 표본의 영구성과 위험성을 충분히 고지하지 않은 점이 문제가 됐다.

보안 업체 ORAVYS는 영향을 받은 계약자들을 위해 무료 법의학 분석을 제공하고 있다. 자신의 음성이 악용되고 있는지 확인할 수 있도록 지원하고 있는 것이다.

이번 사건은 AI 시대 기업의 데이터 관리 책임이 얼마나 중요한지 보여준다. 특히 음성, 안면, 지문 등 생체 정보 유출은 일반 개인정보와 다르게 취급되어야 한다. 고객이나 계약자에게 제공하는 정보가 어떤 방식으로 사용되고 보관되는지 명확히 공지해야 한다는 교훈을 남겼다.

업계 전문가들은 향후 AI 음성 관련 서비스를 제공하는 기업들이 더욱 엄격한 보안 기준을 준수해야 한다고 지적하고 있다. 생체 정보의 특성상 한 번 유출되면 되돌릴 수 없기 때문이다.