갈취 그룹 Lapsus$가 2026년 4월 4일, 인공지능 모델 훈련을 위한 계약자를 모집하는 플랫폼 Mercor의 협력자 40,000명 이상의 생체 인식 데이터가 포함된 4테라바이트 파일을 공개했습니다. 유출된 데이터에는 음성 녹음, 문서 스캔본, 인증 셀카가 포함되어 있으며, 이로 인해 음성 지문을 영구적인 생체 인식 식별자로 사용하는 것에 대한 경고 부재를 이유로 10일 만에 5건의 집단 소송이 제기되었습니다.
15초 샘플로 가능한 음성 복제 🎙️
기술적 위험은 고품질 음성 복제에 깨끗한 오디오 15초만 있으면 음성 정체성을 복제할 수 있다는 점에 있습니다. 최적의 조건에서 2분에서 5분 동안 녹음된 Mercor의 파일은 합성 음성 모델을 생성하기에 충분한 자료를 제공합니다. 이는 각 파일을 사칭의 매개체로 만들며, 피해자들은 자신의 음성 지문을 취소할 수 없습니다. 음성 생체 인식은 비밀번호나 물리적 토큰과 달리 변경 메커니즘이 없어 갈취나 자동화된 전화 사기에 대한 잠재적 피해를 증폭시킵니다.
당신의 목소리는 더 이상 당신의 것이 아닙니다, 그것은 훈련 파일입니다 🤖
이 사건의 가장 흥미로운 점은 피해자들이 AI 모델 훈련을 위해 일했으며, 이제는 그들 자신이 또 다른 종류의 인공지능을 위한 비자발적 데이터셋 역할을 하고 있다는 것입니다. Mercor는 알고리즘 개선을 위해 명확하게 말해달라고 요청했지만, 그들의 목소리가 더 이상 사적이지 않을 것이라는 점은 언급하는 것을 잊었습니다. 15초의 녹음만 있으면 어떤 오픈소스 스크립트라도 계약자를 사칭해 대출을 요청할 수 있습니다. 적어도 셀카로 얼굴을 도난당한 경우 선글라스를 착용할 수 있지만, 목소리의 경우 침묵만이 남습니다.