💡 이번주 뉴스레터에는 이런 내용을 담았어요!

• 이미지 내 워터마킹 기법에 대해 소개합니다.
• SynthID-Image에 대해 소개합니다.
• 워터마킹 시스템의 구조에 대해 소개합니다.

안녕하세요 에디터 져니입니다!

어젯밤 혹은 오늘, SNS나 소셜 미디어에서 본 사진이나 동영상에 잠시 멈칫한 순간이 있지 않으신가요? 너무 자연스러운 동영상, 믿기지 않는 완벽한 사진 앞에서 혹시나 AI가 만든 것은 아닌지 의심하게 됩니다. 그만큼 생성형 AI가 인간의 창작물과 비슷한 수준의 결과물을 쏟아내기 시작한 것이죠.

손쉽게 사용할 수 있는 다양한 생성형 AI

출처: Nano Banana / DALL-E

우리는 생성형 AI의 폭발적인 성장을 함께 목격했습니다. 몇년 전까지만 해도 AI 생성 이미지는 충분히 구별할 수 있었습니다. 현재는 'Nano Banana'나 'DALL-E' 같은 도구를 활용해 누구나 저렴한 비용으로 전문적인 이미지를 만들 수 있는 시대가 열렸습니다. 하지만 이는 동시에 심각한 위기의식을 불러일으켰죠. 더 이상 온라인상의 이미지는 현실적인 증거로 충분하지 않게 되었습니다. 딥페이크와 조작된 정보는 단순한 해프닝을 넘어서 사회를 흔드는 위협이 되고 있습니다.

초기에는 이 문제를 해결하기 위해 AI가 가짜 이미지나 영상을 잡아내는 ‘탐지기’를 연구했습니다. 하지만 생성형 AI의 성장으로 탐지기는 무력해지며, 억울하게 가짜로 판명나는(False Positive) 비율과 매우 정교한 가짜를 놓치는(True Negative) 문제 사이의 근본적인 트레이드 오프(Trade-Off)에 부딪혔습니다.

그래서 최근 기술의 흐름은 출처 확인(Provenance)으로 바뀌고 있습니다. 이는 가짜를 구별하는 것에 그치지 않고, 콘텐츠 안에 아예 출처 정보를 심어서 명시하는 기술입니다.

이번 뉴스레터는 이 실험의 전선에 있는 ‘SynthID-Image’를 중점적으로 이미지 속에 출처를 넣는 방식에 대해 집중 조명합니다.

Google DeepmMind가 개발한 SynthID는 AI가 생성물임을 식별할 수 있는 워터마킹 기술입니다. 여기서 워터마킹은 이미지, 오디오, 비디오, 텍스트와 같은 디지털 콘텐츠에 사람이 식별하기 어려운 미세한 신호를 삽입하는 기술입니다.

2023년 8월에 자사 이미지 생성 모델의 일부 사용자에게 공개했고, 픽셀 기반의 이미지 워터마킹으로 등장했습니다. 당시에는 딥페이크의 초기 대응책으로써의 성격이 강했다고 볼 수 있죠. 그 이후 2024년에는 기술이 다양한 모달리티(Modality)로 확장됩니다. 이미지뿐만 아니라 음성, 동영상 등 다양한 AI 생성 콘텐츠에도 워터마킹을 넣는 것이 가능해졌는데요. 2025년에 들어서는 자사의 주요 생성형 AI 모델로 만든 모든 콘텐츠에 SynthID가 기본으로 탑재되도록 만들었죠.

현재도 활발하게 사용되고 있는 SynthID는 2025년 11월 기준으로 200억 개가 넘는 AI 콘텐츠에 적용이 되었습니다. 이는 단순히 실험실 속 연구에 그치지 않고, 이미 AI 생태계 깊숙이 자리 잡았음을 의미합니다.

SynthID를 활용하는 이미지 분석 출처: ⓒ deep daiv.

SynthID는 현재 오픈소스로 공개되어 있기에 누구나 사용할 수 있습니다. 자신의 창작물에 누구나 출처를 넣을 수 있죠. 뿐만 아니라, 생성된 콘텐츠가 Google의 AI 모델을 통해 만들어진 것인지 손쉽게 알아볼 수 있습니다. 그중에서 가장 대표적인 이미지 워터마킹 기술인 SynthID-Image를 알아봅시다.

이미지 워터마킹의 핵심 요소

출처: ⓒ deep daiv.

먼저 비가시성입니다. 워터마킹 기술의 가장 중요한 원칙은 존재하되 느껴지지 않아야 합니다. 워터마크 삽입으로 인해 이미지에 노이즈가 끼거나 뭉개진다면, 이는 고품질의 시각적 경험을 심각하게 저해할 것이고, 결과적으로 생성 모델의 경쟁력을 잃게 됩니다. 그래서 SynthID-Image는 인간의 눈에서 식별할 수 없는 범위에서 작동하도록 설계되었습니다. 인간의 눈에 둔감한 고주파 영역 등에 정보를 숨기는 방법을 사용했습니다.

온라인상에서 흔히 발생하는 다양한 이미지의 변화

출처: SynthID-Image: Image watermarking at internet scale(Sven Gowal, et al., 2025)

두 번째로 견고성입니다. 생성된 이미지는 온라인 상에서 다양하게 업로드 되면서 다양한 변형을 겪게 됩니다. 압축이 되고, 크기가 조절되거나, 잘리고, 필터가 씌워지기도 하죠. 이런 일상적인 변화 속에서도 워터마크의 신호가 생존하여 검출될 수 있어야 합니다.

SynthID-Image는 다른 워터마킹 기법보다 현실적인 성능에 더 집중했습니다. 기존 연구들은 변형 유형마다 가장 점수가 잘 나오는 임계값(Threshold)을 따로 설정해 성능을 과시하곤 했습니다. 하지만 실제 서비스 환경에서는 어떤 변형이 일어날지 미리 알 수 없기에, 모든 상황에 적용할 수 있는 단일 임계값만 사용할 수 밖에 없다는 문제가 있죠. SynthID-Image는 이 문제에 집중하였습니다. 또한 더욱 세밀한 회전이나 변형에도 방어할 수 있도록 만들어졌습니다.

세 번째로는 보안성입니다. 워터마크는 단순한 우연적 변형뿐만 아니라, 악의적인 조작 시도에도 견딜 수 있어야 합니다. 예를 들어, 워터마크를 지우거나 변형해 소유권을 가로채려 하거나, 워터마킹 모델의 비밀 정보를 탈취하거나, 워터마크에 포함된 정보를 조작하려는 공격이 이에 해당합니다.

완벽한 보안은 불가능하기 때문에, SynthID-Image는 공격자가 성공하기 위해 가능한 많은 자원을 소모하도록 만드는 것을 목표로 합니다. 다양한 공격에 대한 방어를 학습하고, 단색의 이미지나 정보가 없는 이미지는 필터링하여 분석당할 위험을 초래하기 때문에 워터마크를 삽입하지 않습니다. 또한 여러 이미지를 대조해 패턴을 찾는 것을 방어하기 위해서 같은 입력에 대해서는 항상 같은 결과가 나오도록 만들어 패턴 분석을 어렵게 만들기도 했습니다.

마지막으로는 효율성입니다. 워터마킹을 삽입하는 과정이나 검출하는 과정이 무거워서 지연이 된다면, 서비스의 품질이 저하되는 문제가 발생합니다. 생성형 AI의 모델 자체도 이미 추론 비용이 높은데, 워터마킹 과정이 병목을 더욱 일으키면 안되겠죠.

SynthID-Image는 최대한 간단한 연산만으로 워터마크를 삽입하고 검출할 수 있도록 효율성을 극대화했습니다.

워터마킹 적용 시점에 따라 크게 2가지로 나눌 수 있는 파이프라인

출처: ⓒ deep daiv.

워터마킹 기술은 적용 시점에 따라 크게 'Ad-hoc(생성 중 적용)' 방식과 'Post-hoc(생성 후 적용)' 방식으로 나눌 수 있습니다.

먼저 Ad-hoc 방식은 이미지를 생성하는 과정 속에 워터마크를 통합하는 기술입니다. 이는 이론적으로 화질의 손상이 없는 이미지를 만들 수 있다는 큰 장점을 가지고 있습니다. 하지만 모델의 내부 구조에 크게 관여해야 하므로 특정 모델에 종속적일 수밖에 없습니다. 그러면 모델의 다양화에 맞춰 유동적으로 확장되기 어렵다는 큰 단점을 가지고 있죠.

반면에 Post-hoc 방식은 이미지가 완성된 후에 따로 후처리 단계에서 워터마크를 입히는 방식입니다. 이는 어떤 AI 모델을 사용하는지와 무관하게 워터마크 인코더를 적용할 수 있다는 유연성이 큰 장점입니다.

여기까지 읽으신 분들은 이미 어느 정도 눈치채셨을 텐데요, SynthID-Image는 이러한 두 가지 방식 중 Post-hoc 방식을 전략적으로 선택했습니다. 이는 Google이 가지고 있는 수많은 AI 모델과 만들어질 미래의 AI 모델들을 일관성 있게 관리할 수 있기 때문입니다. 그리고 Post-hoc 방식을 사용하는 덕분에 오픈소스 공개나 외부 배포가 가능하죠. 실제 서비스 환경에서는 생성보다 탐지가 훨씬 빈번하게 발생합니다. 이때, Post-hoc 방식은 탐지 속도가 월등히 빠르다는 장점을 가지고 있습니다.

물론 Post-hoc 방식에도 단점이 존재합니다. 이미 생성된 이미지에 변형을 가해서 워터마크를 삽입하는 과정을 거치기 때문에 화질 저하가 발생할 수 있고, 따로 워터마크를 위한 추가적인 삽입 시간이 들어가는 점도 있죠. 그러나 앞에서 설명했듯이, SynthID-Image는 Post-hoc 방식이 가질 수 있는 단점들은 최소화하려고 노력하고 있기도 하죠.

“NANO BANANA”라는 입력으로 만들어낸 AI 생성물(좌)과 단계별로 약한 변화(중)와 극단적 변화(우)를 준 이미지

출처: ⓒ deep daiv.

SynthID를 통한 분석 결과 중 일부

출처: ⓒ deep daiv.

제가 직접 “NANO BANANA”라는 입력을 통해 만든 이미지에 다양한 변형을 일으켜서 워터마크를 인지할 수 있는지 확인했습니다. 결과를 보시면 색을 바꾸고, 화질을 낮추는 등의 변형을 가한 경우에도 Google의 이미지 생성 모델을 사용했다는 것뿐 아니라 제가 입력한 정보마저 담고 있는 것을 확인할 수 있습니다. 하지만 3번째 사진처럼 심한 변형 속에서는 검사 자체가 불가능하다는 것을 확인할 수 있었습니다. 악의적인 편집이 있다면 충분히 워터마킹 시스템의 허점을 노릴 수도 있다는 의미이기도 합니다.

생성형 AI가 진화함에 따라 ‘진짜'와 '가짜'를 구별하는 일은 이제 선택이 아닌 필수가 되었습니다. 이에 대한 해답으로 출처 표시 방식(Provenance)이 하나의 해결책으로 모색되고 있습니다.

SynthID-Image는 이미 오픈소스로서 그 가치를 입증하며 AI 생태계 깊숙이 자리 잡았습니다. 하지만 기술의 진화 속도만큼이나 해결해야 할 과제도 여전히 남아 있습니다. 생성형 AI가 다양한 감각을 결합한 멀티 모달(Multi-modal) 형태로 급변하고 있기 때문입니다. 이제는 온전한 이미지뿐만 아니라, 조각난 음성 파일이나 정교하게 편집된 영상 속에서도 정확히 출처를 찾아낼 수 있는, 한층 더 고도화되고 복잡한 기술이 요구되고 있습니다.

하지만 잊지 말아야 할 것은 아무리 완벽한 워터마킹 기술도 결국은 '도구'일 뿐이라는 사실입니다. 도구는 올바른 규칙 안에서 쓰일 때 비로소 가치를 지닙니다. 전 세계가 법적 규제와 사회적 합의라는 튼튼한 울타리를 세우고 있는 지금, 기술적 진보와 제도적 뒷받침이 맞물릴 때 비로소 우리는 신뢰할 수 있는 건강한 AI 생태계를 마주할 것입니다. 그 속에서 비로소 워터마킹 기술은 제 빛을 발할 수 있습니다.