Cato CTRL™ 위협 연구 – OpenAI의 ChatGPT 이미지 생성기로 가능해진 위조 여권 제작 

개요 

3월 25일, OpenAI는 ChatGPT-4o와 ChatGPT-4o mini에 이미지 생성 기능을 도입했습니다. 이어 3월 31일에는 이 도구를 모든 사용자에게 무료로 제공하겠다고 발표했습니다. 이후 사용자들은 ChatGPT의 이미지 생성기를 악용하여 가짜 영수증을 만들고, 기타 문서를 위조할 수 있다는 점을 빠르게 알아냈습니다.  

2025 Cato CTRL 위협 보고서에 따르면, ChatGPT와 같은 생성형 AI(GenAI) 도구의 등장은 사이버 범죄의 일반화를 초래하고, ‘제로지식 위협 행위자’가 부상하는 등 위협 환경에 중대한 변화를 일으키고 있습니다. Cato CTRL는 ChatGPT의 이미지 생성기를 이용해 여권과 같은 가짜 신분증을 몇 분 만에 제작할 수 있음을 확인했습니다. 탈옥은 필요하지 않으며, 몇 개의 프롬프트만 입력하면 제작할 수 있습니다.  

아래에서는 ChatGPT의 이미지 생성기를 통해 위조 여권을 제작하는 과정을 시연합니다.  

기업은 기존 피싱이나 맬웨어는 물론, 문서 기반 공격까지 대비할 수 있도록 사기 여부 탐지 메커니즘을 반드시 업데이트해야 합니다.  

기술적 개요 

여권 위조의 진화 – 과거와 현재 비교 

수십 년 동안 사이버 범죄자들은 위조 여권을 제작하고 유통하는 데 관여해 왔습니다. 2010년대 초반에는 위조 여권이 다크웹 마켓플레이스와 지하 포럼에서 흔히 거래되었습니다(그림 1 참조).  

그림 1. 다크웹에서 거래되는 위조 여권 예시

이러한 리소스에 접근하기 위해서는 전문적인 기술 지식과 지하 네트워크와의 연결이 필요했습니다. 이러한 문서를 제작하는 사람들은 Adobe Photoshop과 같은 도구를 능숙하게 다루는 고도의 기술자들이었습니다.  

시간이 흘러 현재는 상황이 급격히 변했습니다. AI 생성 이미지가 위조 과정을 간소화하여 더 이상 전문 기술이나 특수한 도구 없이도 손쉽게 위조가 가능한 수준이 되었습니다. 과거에 이 작업을 수행하려면 전문적인 기술력과 불법적인 자료가 필요했으나, 이제는 ChatGPT와 같은 AI 플랫폼에서 간단한 프롬프트 몇 개만 입력하면 위조할 수 있습니다. ChatGPT의 이미지 생성기는 원래 만화 아바타 제작과 같은 창작 용도로 고안되었으나, 이제는 사이버 범죄자들이 이를 사기 수단으로도 악용할 수 있게 되었습니다. 

특히 주목할 점은 ChatGPT의 이미지 생성기를 사용해 여권까지 위조할 수 있다는 것입니다. 예전에는 수 시간이 소요되었으나, 이제는 단 몇 분 만에 서류를 조작할 수 있게 되었습니다.  

ChatGPT의 이미지 생성기를 활용하여 여권 위조하기  

ChatGPT의 이미지 생성기를 분석하는 과정에서 스캔한 여권을 업로드하고 수정을 요청하자, 매우 우려스러운 사례가 확인되었습니다. 처음에 ChatGPT는 개인정보 보호와 법적 문제를 이유로 이미지 수정 요청을 거부했습니다. 그러나 요청을 약간 수정하여 ‘여권처럼 보이는 명함’이라고 하자, 이러한 제한을 우회할 수 있었습니다. ChatGPT는 이름뿐만 아니라 사진까지도 바꿔주었습니다. 그 결과, 이미지 오버레이와 실제와 같은 도장까지 갖춘, 매우 그럴듯하게 위조된 여권이 완성되었습니다.  

그림 2-4는 손쉽게 이뤄지는 여권 위조 과정을 보여줍니다. 이 시연에서는 개인정보를 모두 가렸다는 점을 참고해 주십시오.  

그림 2. ChatGPT 이미지 생성기에 여권을 업로드하는 모습

그림 3. ChatGPT에 여권 정보 수정을 요청하는 모습 

그림 4. Cato CTRL 소속 직원(Vitaly Simonovich)의 위조 여권을 제작 중인 ChatGPT

이 모든 과정은 놀랍게도 몇 분 만에 기본적인 프롬프트만으로 이뤄졌으며, 코딩도 포토샵도 지하 네트워크 지식도 전혀 필요하지 않았습니다. 

제로지식 위협 행위자와 신원 사기의 미래  

과거에 위조 신분증을 제작하려면 어느 정도의 전문 지식이나 불법 네트워크에 대한 접근이 필요했습니다. 이미지를 조작하거나, 필체를 흉내 내거나, 다크웹에서 서비스를 구매하는 방법을 알아야 했습니다. 하지만 이제는 그런 것들이 더 이상 필요하지 않습니다. 정교하게 작성한 몇 가지 프롬프트만 있으면, 초보 해커도 AI 플랫폼을 활용해 위조 신분증을 만들 수 있습니다. 

이는 제로지식 위협 행위자들이 사기 범죄를 저지를 수 있을 정도로 진입 장벽을 낮추는 결과를 가져왔습니다. 사이버 범죄 경험이 전혀 없는 사람조차도 이제는 정교한 사기 행각을 벌일 수 있게 되었습니다. 위조된 신분증으로 제로지식 위협 행위자는 다음과 같은 범죄를 저지를 수 있습니다.   

• 신규 계좌 사기: 가짜 신원으로 은행 계좌를 개설하거나, 신용카드 발급을 신청하거나, 온라인 서비스에 가입할 수 있습니다. 

• 계좌 탈취 사기: 이동통신사나 은행에 전화하여 다른 사람의 계좌를 가로챌 수 있으며, 대표적인 예시로 SIM 교체를 들 수 있습니다. 

• 의료 및 보험 사기: 처방전, 진단서, 보험 청구서 등을 위조하여 불법 약물을 취득하거나 허위 상해 청구를 할 수 있습니다. 

• 법률 및·금융 문서 조작: 계약서, 재직증명서, 급여 명세서 등을 위조해 대출을 받거나, 법원 절차를 조작하거나, 탈세를 할 수 있습니다. 

이 점이 사기 여부 탐지와 예방에 있어서 어떤 의미가 있는지 생각해 볼 필요가 있습니다. 이런 신분증 위조의 위협은 단순히 위조 신분증 제작이 쉬워졌다는 것뿐만 아니라, 그 결과물이 진짜처럼 보일 정도로 사실적이라는 데에도 있습니다. AI는 이제 겉모양뿐 아니라 손글씨의 질감, 고르지 않은 잉크, 공식 신분증 특유의 시각적 세부 요소까지도 모방할 수 있습니다. 

더 우려스러운 점은 이러한 기술이 매우 빠른 속도로 발전하고 있다는 사실입니다. AI 플랫폼이 계속해서 발전하고 이미지 생성기가 더욱 정교해짐에 따라, 사실적인 위조의 진입 장벽이 더욱 낮아지고 있습니다. 

결론 

이제 우리는 GenAI 도구로 인해 제로지식 위협 행위자들까지도 고도의 사기를 저지를 수 있는, 사이버 범죄의 새로운 장으로 진입하게 되었습니다. 조직들은 기존의 피싱이나 맬웨어뿐만 아니라, 문서 기반 공격에도 대비할 수 있도록 사기 여부 탐지 메커니즘을 반드시 업데이트해야 합니다.  

이는 단순한 기술적 문제만이 아니라 사람에게 영향을 줄 수 있는 문제이기도 합니다. 이제 올바른 교육과 다중 계층 인증, AI 기반의 사기 방지 대책이 필요합니다. 사이버 범죄자들이 발전하는 만큼, 우리도 꾸준히 발전해야 합니다.