구글 AI 워터마킹 시스템이 역공학되었나요?

구글 딥마인드의 SynthID는 AI 생성 이미지에 사람 눈에 보이지 않는 워터마크를 삽입하는 기술이다. 일반적인 메타데이터 기반 워터마킹과 달리, SynthID는 이미지의 픽셀 데이터 자체에 통계적 패턴을 삽입하여 크롭, 압축, 필터 적용 등의 후처리에도 워터마크가 유지되도록 설계되었다. 이번에 'Aloshdenny'라는 개발자가 신경망이나 내부 접근 권한 없이, 200장의 Gemini 생성 이미지와 신호 처리(signal processing) 기법만으로 SynthID의 워터마크 패턴을 역분석했다고 주장했다. 핵심은 다수의 워터마크된 이미지에서 공통 주파수 패턴을 추출하고, 이를 기반으로 워터마크를 제거하거나 임의의 이미지에 삽입할 수 있다는 것이다.

이 주장이 사실이라면 AI 콘텐츠 식별 체계 전반에 심각한 영향을 미친다. 현재 EU AI Act 등 글로벌 규제는 AI 생성 콘텐츠의 명시적 표기를 요구하고 있으며, SynthID 같은 기술은 그 핵심 이행 수단이다. 워터마크 제거가 가능해지면 딥페이크 탐지가 무력화되고, 반대로 실제 사진에 AI 워터마크를 삽입해 진본성을 훼손하는 공격도 가능해진다. 다만 구글 측은 이 역분석이 실제로 성공하지 못했다고 반박하고 있어, 기술적 검증이 완료되기 전까지는 신중한 판단이 필요하다.

개발자와 엔지니어 입장에서 주목할 점은 두 가지다. 첫째, AI 워터마킹을 콘텐츠 인증의 유일한 수단으로 의존하는 설계는 위험하다는 것이다. C2PA(Coalition for Content Provenance and Authenticity) 메타데이터, 블록체인 기반 출처 추적, 서버사이드 검증 등 다층 방어(defense-in-depth) 전략을 병행해야 한다. 둘째, 자사 서비스에서 AI 생성 콘텐츠를 다루는 경우, 워터마크 검증 로직이 우회될 수 있다는 전제하에 추가적인 탐지 레이어(예: 통계적 이상 탐지, 모델 fingerprinting)를 구축하는 것이 바람직하다.

이번 사례는 보안 분야의 오래된 교훈, 즉 '은폐를 통한 보안(security through obscurity)'의 한계를 다시 한번 상기시킨다. 오픈소스로 공개된 역분석 코드는 공격자뿐 아니라 방어자에게도 학습 자료가 된다. AI 워터마킹 기술을 활용하거나 이에 의존하는 시스템을 운영하는 엔지니어라면, 해당 GitHub 리포지토리의 기법을 분석하고 자사 파이프라인의 취약점을 선제적으로 점검할 필요가 있다.