SynthID 워터마크 우회: Google의 AI 라벨링 공격에 대한 기술적 분석
개발자 Alosh Denny는 Google이 Gemini 모델로 생성된 이미지를 식별하기 위해 사용하는 보이지 않는 SynthID 워터마크를 제거하는 방법을 시연했습니다. 그의 접근 방식은 공식 SynthID 검출기를 속여 가짜 이미지를 원본으로 인식하게 만듭니다. 이는 생성 콘텐츠 라벨링을 위한 현재 솔루션의 신뢰성에 의문을 제기합니다.
SynthID 작동 원리와 취약점
SynthID는 Gemini를 통해 생성된 이미지에 내장된 Google의 디지털 워터마킹 시스템입니다. 전통적인 워터마크와 달리 이 마크는 사용자에게 보이지 않으며 EXIF나 기타 메타데이터에 저장되지 않습니다. 대신 인간에게는 인지되지 않는 수준의 픽셀 값에 인코딩되어 전문 검출기에만 탐지됩니다.
SynthID의 핵심 기능은 워터마크 신호를 이미지의 주파수 성분 전체에 분산시키는 것으로, 특히 녹색 색상 채널에 강조를 둡니다. 이는 JPEG 재압축 같은 간단한 조작에 강인하지만 잠재적 공격 벡터를 만듭니다. 공격자가 워터마크의 주파수 패턴을 식별하면 이를 반전시키거나 억제할 수 있기 때문입니다.
워터마크 역설계
분석을 위해 Alosh Denny는 완전 검은색과 완전 흰색 테스트 이미지를 사용했습니다. 이를 Gemini에 통과시키면 시맨틱 콘텐츠 없이 노이즈와 SynthID 워터마크만 포함된 '깨끗한' 캐리어만 생성됩니다. 이렇게 워터마크 신호를 시각 콘텐츠로부터 분리할 수 있습니다.
스펙트럼 분석(특히 2D 이산 코사인 변환)을 통해 워터마크 농도가 가장 높은 특징적인 주파수 좌표가 드러났습니다. 주요 기여는 RGB 공간의 녹색 채널에서 나오는 것으로 밝혀졌습니다.
이 데이터를 바탕으로 특정 해상도에 대한 주파수 위치 사전이 작성되었습니다:
- 1024 × 1024 픽셀 — 많은 생성 모델의 표준 해상도.
- 1536 × 2816 픽셀 — 모바일 앱에서 자주 사용되는 세로 형식.
중요한 점: SynthID는 해상도에 따라 워터마크 위치를 조정하므로 보편적 솔루션은 없으며 각 크기별로 별도의 프로필이 필요합니다.
워터마크 제거 알고리즘
제거 과정은 다음 단계로 구성됩니다:
- 이미지를 주파수 도메인으로 변환(DCT 등 사용).
- 미리 수집한 사전을 기반으로 대상 주파수 식별.
- 해당 주파수에서 신호 진폭 반전 또는 억제.
- 공간 도메인으로 역변환.
이미지의 전체 구조와 구성을 담당하는 저주파 성분을 보존하는 것이 핵심입니다. 저자는 이 방법이 왜곡을 최소화한다고 주장합니다. 처리 후 PSNR(피크 신호 대 잡음 비율)이 43 dB를 유지해 육안으로 변화가 거의 감지되지 않습니다.
생성 콘텐츠 생태계에 미치는 영향
SynthID에 대한 이 성공적인 공격은 모든 보이지 않는 워터마크의 근본적 문제를 드러냅니다. 검출 알고리즘이 공개되거나 역설계 가능하다면 결국 우회가 발견될 수밖에 없기 때문입니다. 이는 가짜 뉴스부터 허위 리뷰, 제품 이미지까지 AI 콘텐츠 사기가 증가하는 상황에서 특히 중요합니다.
Google은 아직 이런 공격에 대한 보호가 강화된 SynthID 버전을 출시하지 않았습니다. 그러나 전문가들은 강인성을 높일 방안을 제안합니다:
- 콘텐츠 의존적 적응형 마크.
- 비밀 키를 사용한 주파수 위치 암호화.
- 여러 마킹 방법 결합(예: 메타데이터 + 픽셀 수준 + 블록체인 등록).
현재로서는 SynthID Detector만 의존하는 모든 서비스가 이런 조작에 취약합니다.
주요 요약
- SynthID는 주로 녹색 채널의 보이지 않는 주파수 기반 마크를 사용.
- 공격은 검은색/흰색 배경의 깨끗한 이미지 분석을 통한 역설계에 의존.
- 제거는 알려진 이미지 해상도에서만 가능 — 각 크기별 프로필 필요.
- 처리 후 이미지 품질 우수(PSNR ≈ 43 dB).
- 현재 SynthID 구현은 신호에 대한 암호화 보호 부족.
— Editorial Team
아직 댓글이 없습니다.