AI 이미지 워터마크 제거 도구가 나온 뒤 따라붙는 기술·법적 리스크

• Remove-AI-Watermarks는 이름 그대로 AI 이미지 워터마크 제거를 내세운 CLI 겸 라이브러리임

  • 대상은 Google Gemini, ChatGPT/DALL-E, Stable Diffusion, Adobe Firefly, Midjourney 등으로 넓게 잡음
  • 보이는 로고, 보이지 않는 워터마크, EXIF/XMP/C2PA 같은 provenance metadata, 플랫폼의 “AI로 제작됨” 라벨 트리거까지 다룬다고 설명함
  • 온라인으로 써볼 수 있는 무료 웹 서비스도 별도로 언급함

• Gemini 계열의 보이는 워터마크는 sparkle 로고를 직접 겨냥함

  • README는 Google Gemini 내부 코드명 Nano Banana가 생성 이미지에 visible sparkle logo를 alpha blending으로 얹는다고 설명함
  • 순수 검정 배경 출력에서 추출한 alpha map을 이용해 역산하는 방식이라고 주장함
  • 위치와 크기는 3단계 NCC, 즉 Normalized Cross-Correlation detector로 찾는다고 함
  • 처리 속도는 이미지당 약 0.05초, GPU 없이 가능하다고 적음

• 보이지 않는 워터마크 쪽은 훨씬 민감한 영역임

  • SynthID, StableSignature, TreeRing 같은 pixel 또는 frequency domain watermark를 대상으로 삼음
  • 이런 패턴은 cropping, resizing, JPEG compression 뒤에도 살아남도록 설계된 쪽임
  • 프로젝트는 diffusion-based regeneration으로 이를 약화하거나 제거한다고 주장함
  • 2026년 5월 기준 SDXL을 기본 프로필로 삼았고, Gemini 3 Pro 출력의 SynthID v2를 수동 검증에서 우회했다고 설명함

• 이미지 품질 보존을 위한 장치도 들어 있다고 주장함

  • diffusion 재생성 전에 YOLO로 사람 얼굴을 감지해 추출함
  • 재생성 후 원래 얼굴을 soft elliptical mask로 다시 blend해 얼굴 왜곡을 줄인다고 설명함
  • Analog Humanizer라는 기능은 film grain과 chromatic aberration을 넣어 화면을 촬영한 사진처럼 보이게 만든다고 함
  • 이 기능은 AI image classifier를 우회한다는 표현까지 포함하고 있어 꽤 노골적임

• 메타데이터 제거 범위도 넓게 잡혀 있음

  • Stable Diffusion이나 Midjourney가 남기는 prompt, seed, model hash, sampler settings 같은 EXIF 정보를 언급함
  • Instagram, Facebook, X에서 “AI로 제작됨” 라벨에 쓰일 수 있는 XMP DigitalSourceType도 제거 대상으로 적음
  • ComfyUI workflow나 AUTOMATIC1111 parameters가 들어간 PNG text chunk도 처리한다고 함
  • Google Imagen, OpenAI DALL-E, Adobe Firefly의 C2PA Content Credentials manifest도 제거 대상으로 둠
  • 다만 표준적인 Author, Copyright, Title 같은 메타데이터는 보존한다고 설명함

• 지원 표를 보면 서비스별 대응 방식이 다름

  • Gemini/Nano Banana/Gemini 3 Pro는 visible sparkle logo, SynthID v1·v2, C2PA·EXIF를 모두 언급함
  • DALL-E 3와 ChatGPT 이미지는 주로 C2PA manifest 제거 쪽으로 설명함
  • gpt-image-2는 imperceptible pixel watermark가 있을 수 있지만 공개 detector는 아직 없다고 적음
  • Stable Diffusion은 DWT나 steganographic watermark, PNG text chunk를 다룸
  • Adobe Firefly는 Content Credentials, Midjourney는 EXIF와 XMP metadata를 대상으로 설명함

• 기술적으로 아직 빈틈도 명시되어 있음

  • SynthID-Image v2 자동 회귀 테스트는 아직 구현되지 않았다고 밝힘
  • Google의 SynthID Detector portal에 programmatic access가 필요하거나 offline surrogate detector가 필요하다고 설명함
  • AVIF, HEIF, JPEG-XL에서는 top-level C2PA uuid와 JUMBF boxes 제거를 언급하지만, 컨테이너 내부 EXIF/XMP box는 아직 완전히 scrub하지 못한다고 함
  • 비디오 워터마크 제거는 별도 패키지 범위로 분리되어 있고 이 저장소에는 넣지 않는다고 함

• 흥미로운 건 “안 하는 것”도 선을 그었다는 점임

  • Nightshade, Glaze, PhotoGuard 제거는 지원하지 않겠다고 밝힘
  • 이유는 이것들이 작가가 AI 학습 수집으로부터 자기 작업물을 보호하기 위한 방어적 perturbation이기 때문임
  • AI provenance 제거와 작가 보호 기술 제거를 구분하려는 태도는 README에서 꽤 분명하게 나옴

• 법적 경고도 README에서 상당히 길게 다룸

  • EU AI Act Article 50(2)는 표시 의무가 2026년 12월 2일로 연기된 상태라고 설명함
  • 미국 연방 COPIED Act는 2025년에 제정됐고, 출처를 속일 의도로 provenance 정보를 제거하는 행위를 범죄화한다고 적음
  • 중국은 AI 콘텐츠 visible label 의무가 있고 제거가 행정 위반이 될 수 있다고 설명함
  • 미국 주 단위 법은 선거 딥페이크나 성적 딥페이크처럼 콘텐츠 유형별 규제가 있다고 정리함

• 사용 사례도 맞는 경우와 안 맞는 경우를 나눠 적음

  • 직접 생성한 이미지를 공개하면서 그 결과를 감수하는 경우
  • 보안·강건성 평가를 하는 경우
  • 사람이 편집한 사진에 잘못 붙은 AI 라벨을 제거하는 경우
  • 반대로 AI 생성물을 사람 작품처럼 속이거나, Google 추적에서 익명화될 거라고 믿는 경우는 threat model에 맞지 않는다고 못박음

• 전체적으로 보면 기술보다 신뢰 인프라 논쟁에 가까움

  • AI 이미지가 늘수록 provenance와 watermark는 플랫폼·규제·저작권 쪽의 기본 인프라가 되고 있음
  • 동시에 이런 제거 도구는 그 인프라가 얼마나 쉽게 공격받을 수 있는지도 보여줌
  • 개발자 입장에서는 “탐지 신호 하나만 믿는 설계”가 얼마나 취약한지 보는 사례로 읽을 만함

---

기술 맥락

• 이 프로젝트가 건드리는 선택은 AI 콘텐츠 출처 표시를 파일 내부 신호에 얼마나 의존할 수 있느냐예요. C2PA manifest, EXIF/XMP, SynthID 같은 신호는 각각 목적이 다르지만, 사용자가 파일을 다시 저장하거나 재생성하거나 메타데이터를 지우면 방어선이 흔들릴 수 있거든요.

• 보이는 워터마크와 보이지 않는 워터마크는 공격 방식도 달라요. 로고 오버레이는 alpha blending을 역산하고 inpainting으로 흔적을 줄이는 식으로 접근할 수 있지만, SynthID 같은 신호는 픽셀이나 주파수 영역에 숨어 있어서 diffusion regeneration처럼 이미지를 다시 만드는 접근이 등장해요.

• C2PA는 암호학적 provenance를 제공하지만, 파일에 붙은 manifest를 제거하는 공격 자체를 막아주는 만능 장치는 아니에요. 그래서 신뢰 모델은 “파일 안에 서명이 있다”에서 끝나면 안 되고, 플랫폼 정책, 서버 기록, 검증 로그, 배포 경로까지 같이 봐야 해요.

• README가 서버 쪽 기록을 강조하는 이유도 여기예요. 사용자가 가진 복사본에서 워터마크를 지워도, 생성 서비스가 계정·세션·원본 파일 기록을 갖고 있으면 추적 가능성은 남아요. 즉 이건 익명화 도구라기보다 파일 표면의 탐지 신호를 건드리는 도구에 가까워요.