딥페이크 (Deepfake) 란 A.I. 기술을 활용한 이미지 합성 기술이다. 실존하는 인물의 초상이나 특정 부위를 기존의 이미지 또는 비디오에 합성한 영상 편집물을 총칭한다. 합성하려는 인물의 얼굴이 담긴 고화질 동영상을 딥러닝하여 기존의 동영상에 프레임 단위로 합성하는 것이다.
한국의 경우, 이러한 딥페이크 영상물을 제작해 배포하면 초상권 침해 내지 퍼블리시티권 침해에 해당할 수 있다. 더 나아가 딥페이크를 활용한 음란물의 경우 성폭력 범죄에 관한 특례법 제14조 2항에 따라 처벌받는다.

딥페이크에 대한 문제가 사회적 이슈로 대두되자, 폰허브 같은 대형 성인물 플랫폼은 업로드된 딥페이크 영상들을 전부 삭제하는 조치를 취했다. 이후 제작된 딥페이크 영상들을 모은 전용 사이트들이 암암리에 생겨나기 시작했다.

Kpop 아이돌과 일본 AV를 합성한 딥페이크 영상 사이트

CIP Team 은 이와 같은 딥페이크 사이트를 추적해 보았다. 놀랍게도 딥웹, 다크웹이 아닌 누구나 접속할 수 있는 Surface web에서 굉장히 많은 불법 딥페이크 사이트를 발견할 수 있었다. 특히 Kpop 아이돌의 얼굴에 포르노 영상을 합성하여 운영하는 사이트가 주를 이루고 있으며, 이 중 몇몇 사이트들은 한국 IP 주소의 접근을 차단시키고 있다.

아래에 분석된 내용에는 CIP Team이 추적한 딥페이크 사이트 중 일부의 실제 페이지 화면이 삽입되어 있다. 문제가 될 만한 자극적인 화면은 모두 마스킹 처리했음을 사전에 밝힌다.

Kpop 아이돌의 딥페이크 포르노를 제공하는 불법 딥페이크 사이트 화면

Kpop 아이돌의 딥페이크 포르노를 제공하는 불법 딥페이크 사이트 화면

추적한 딥페이크 사이트 중 한곳에 접속하자 충격적인 화면이 띄워졌다. Kpop에 관심이 있다면 익히 알만한 트와이*, 레드벨*, 아이* 등 인기 아이돌 멤버의 초상과 일본 AV 배우의 몸이 합성된 영상이 노출되어 있다. 이 사이트에서만 확인된 딥페이크 피해자가 약 190명에 이르는 것으로 확인된다. 그중에는 Kpop 가수 외에 유명한 한국 배우들도 포함되어 있다.

Kpop 딥페이크 사이트에 소개되고 있는 딥페이크 영상에 활용된 Kpop 아이돌 피해자

Kpop 딥페이크 사이트에 소개되고 있는 딥페이크 영상에 활용된 Kpop 아이돌 피해자

이 사이트 도메인은 NameCheap이라는 미국의 호스팅 회사에서 2019년도에 구매한 것으로 확인되며, 심지어 불과 6개월 전인 2022년 2월에 갱신한 이력까지도 보인다. 도메인 소유자 명은 가려져 있지만, 해당 호스팅 회사에 이 도메인이 불법적으로 사용된다는 사실을 제보할 수 있을 것으로 보인다.

Domain name: ************.net
Registry Domain ID: 2361192048_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2022-02-16T19:52:41.84Z
Creation Date: 2019-02-16T02:27:08.00Z
Registrar Registration Expiration Date: 2023-02-16T02:27:08.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone: +1.9854014545
Reseller: NAMECHEAP INC

해당 딥페이크 사이트의 서버 IP 주소 정보는 Criminal IP (https://www.criminalip.io)로 확인할 수 있다. IP 주소 검색 결과, 해당 사이트는 OVH SAS라는 프랑스의 호스팅 회사에서 가동되고 있음을 알 수 있다. 신고를 통해 잠시 도메인을 내리더라도 곧바로 다른 도메인을 생성해 다시 이 호스팅 서버에 연결하여 운영할 수 있는 것이다. 따라서, 완벽한 사이트 Shutdown을 위해서는 해당 호스팅 업체에 서버 원천 차단을 요청해야 한다.

Cloudflare 뒤에 숨겨진 딥페이크 사이트 추적

아래의 또 다른 딥페이크 사이트의 경우, 앞서 다룬 Kpop 딥페이스 케이스는 IP 주소가 노출되어 있어 즉각적으로 법적 조치가 가능한 것과 달리 클라우드플레어 (Cloudflare)를 이용해 원본 IP 주소를 감춰 놓은 상태였다.

Cloudflare를 활용해 진짜 서버 IP 주소를 감추고 운영하는 불법 딥페이크 사이트

Cloudflare를 활용해 진짜 서버 IP 주소를 감추고 운영하는 불법 딥페이크 사이트

[Criminal IP Youtube – 클라우드플레어로 숨겨진 딥페이크 사이트 실제 서버 추적]

아래 화면처럼 nslookup을 수행해서 해당 도메인 주소에 매핑된 IP 주소를 확인한 결과, 172.67.210.176104.21.69.174 두 가지 IP 주소가 확인되었다. 두 IP 주소는 모두 클라우드플레어의 주소로, 실제 서버의 IP 주소가 아니다. 클라우드플레어는 DDoS 등 사이버 공격 방어를 위해 사이트의 앞 단에서 트래픽을 1차 필터링하는 역할을 하며, IP 주소를 숨겨주는 기능도 제공한다. 방어 목적으로 이용되는 경우가 많지만, 불법적인 사이트의  IP 주소 역시 감출 수 있기 때문에 이 딥페이크 사이트처럼 악의적인 목적으로 활용되기도 한다. 사이트 운영자도 추적을 피하기 위해 클라우드플레어를 통하여 IP 주소를 감춰 놓은 것으로 보인다.

nslookup으로 IP 주소를 추적한 결과

nslookup으로 딥페이크 사이트 IP 주소를 추적한 결과

아래 화면은 클라우드플레어 IP 주소인 172.67.210.176을 Criminal IP로 검색한 모습이다.  IP Address Owner 가 CLOUDFLARENET으로 나오고 Hosting IP도 True로 확인되고 있다. 또 주목할 만한 점은 Connected Domains가 245개로, 여러 도메인들이 같은 클라우드플레어의 IP 주소를 사용하고 있음을 알 수 있다.

Criminal IP Asset Search 에서 Kpop 딥페이크 사이트 IP 주소를 검색한 화면

Criminal IP Asset Search 에서 Kpop 딥페이크 사이트 IP 주소를 검색한 화면

딥페이크 사이트의 클라우드플레어 IP 주소와 같은 IP주소를 쓰는 도메인들

딥페이크 사이트의 클라우드플레어 IP 주소와 같은 IP주소를 쓰는 도메인들

이렇게 감춰진 IP 주소의 원본 IP는 Criminal IP의 Domain Search (https://www.criminalip.io/ko/domain) 로 추적할 수 있다. Domain Search 검색창에 문제의 딥페이크 사이트의 도메인을 검색해 나온 결과 중 Real IP 탭을 보면 이 딥페이크 사이트의 실제 IP 주소는 173.212.253.115라는 것을 확인할 수 있다. 이 IP 주소가 딥페이크 사이트 운영자의 실제 서버 IP 주소다. 

Criminal IP Domain Search에 도메인을 검색한 결과. Real IP가 탐지 된다

Criminal IP Domain Search에 딥페이크 사이트 도메인을 검색한 결과. Real IP가 탐지 된다

Criminal IP Domain Search 로 추적한 딥페이크 사이트의 실제 IP 주소.

Criminal IP Domain Search 로 추적한 딥페이크 사이트의 실제 IP 주소

Real IP에서 확인된 실제 딥페이크 사이트의 서버 IP 주소를 Criminal IP Asset Search (https://www.criminalip.io/ko/asset) 에 검색해 보았다. IP Address Owner는 Contabo GmbH로 독일 뮌헨에 위치한 호스팅 업체임을 알 수 있다. SSH 와 FTP 등의 서버도 함께 가동되고 있다. 이 딥페이크 사이트 운영자는 독일 호스팅 업체 서버에서 딥페이크 사이트를 운영하고 있는 것이다. 실제 서버 IP 주소를 추적했으니, 딥페이크 범죄 수사 관련 담당자들은 이 호스팅 업체에 연락하여 서버를 shutdown 시키고, 필요한 법적 조치를 취해야 할 것이다.

딥페이크 사이트의 Real IP 주소에 대한 검색결과.

딥페이크 사이트의 Real IP 주소에 대한 검색결과

아직도 쏟아져 나오고 있는 불법 딥페이크

CIP Team이 분석한 결과, 이외에도 딥페이크 사이트는 셀 수 없이 많았다. 어떻게 이렇게나 많은 딥페이크 사이트가 계속해서 양산되는 것일까? 그 원인 중 하나는 간편화된 자동화 시스템 때문일 것으로 예측된다. 가장 대표적인 예로는 Deepfake Studio가 있는데, 합성 대상자의 얼굴 이미지와 AV 배우의 영상만 있으면 이 애플리케이션을 이용해 누구나 쉽게 딥페이크 영상을 제작할 수 있다. 이러한 딥페이크 합성을 제공하는 서비스들은 점점 더 많이 늘어나고 있다.

딥페이크 영상 제작 툴

불법 딥페이크 사이트를 양산하는 원인 중 하나인 딥페이크 영상 제작 툴

결국, 이러한 범죄 영상물이 범람하는 심각한 사회적 문제의 원인은 기술의 발전 속도에 비해 규제나 행정적 프로세스가 따라가지 못하기 때문이다. 다양한 자동화 도구가 범죄에 사용되고 불법 사이트가 증가하고 있는데, 그들을 탐지하고 추적하는 방법은 여전히 수작업으로 진행되고 있다.

CIP Team 은 딥페이크 사이트의 명확한 추적과 원천 차단을 위해 여러 수사기관에 제공할 정보를 수집하고 있으며,  수집된 정보는 Criminal IP Team에 연락하여 제공받을 수 있다.

데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 글 :

VPN 탐지: 악의적인 사용자 및 네트워크 침입자 식별