--- title: "AI 이미지 워터마크 제거 도구가 나온 뒤 따라붙는 기술·법적 리스크" published: 2026-05-19T22:30:31.000Z canonical: https://jeff.news/article/2937 --- # AI 이미지 워터마크 제거 도구가 나온 뒤 따라붙는 기술·법적 리스크 Remove-AI-Watermarks는 Gemini, DALL-E, Stable Diffusion, Firefly, Midjourney 등에서 생성된 이미지의 보이는 워터마크, 보이지 않는 워터마크, AI 생성 메타데이터를 제거한다고 주장하는 CLI 겸 라이브러리다. README는 SynthID, C2PA, EXIF/XMP, 플랫폼의 ‘AI로 제작됨’ 라벨까지 다루면서도, 법적·윤리적 책임과 한계를 길게 경고한다. - Remove-AI-Watermarks는 이름 그대로 AI 이미지 워터마크 제거를 내세운 CLI 겸 라이브러리임 - 대상은 Google Gemini, ChatGPT/DALL-E, Stable Diffusion, Adobe Firefly, Midjourney 등으로 넓게 잡음 - 보이는 로고, 보이지 않는 워터마크, EXIF/XMP/C2PA 같은 provenance metadata, 플랫폼의 “AI로 제작됨” 라벨 트리거까지 다룬다고 설명함 - 온라인으로 써볼 수 있는 무료 웹 서비스도 별도로 언급함 - Gemini 계열의 보이는 워터마크는 sparkle 로고를 직접 겨냥함 - README는 Google Gemini 내부 코드명 Nano Banana가 생성 이미지에 visible sparkle logo를 alpha blending으로 얹는다고 설명함 - 순수 검정 배경 출력에서 추출한 alpha map을 이용해 역산하는 방식이라고 주장함 - 위치와 크기는 3단계 NCC, 즉 Normalized Cross-Correlation detector로 찾는다고 함 - 처리 속도는 이미지당 약 0.05초, GPU 없이 가능하다고 적음 - 보이지 않는 워터마크 쪽은 훨씬 민감한 영역임 - SynthID, StableSignature, TreeRing 같은 pixel 또는 frequency domain watermark를 대상으로 삼음 - 이런 패턴은 cropping, resizing, JPEG compression 뒤에도 살아남도록 설계된 쪽임 - 프로젝트는 diffusion-based regeneration으로 이를 약화하거나 제거한다고 주장함 - 2026년 5월 기준 SDXL을 기본 프로필로 삼았고, Gemini 3 Pro 출력의 SynthID v2를 수동 검증에서 우회했다고 설명함 > [!WARNING] > 이 도구의 기능 설명은 provenance 제거와 AI 탐지 우회에 직접 닿아 있음. 보안 연구나 오탐 대응 같은 맥락이 아니라 출처를 속이는 용도로 쓰면 법·플랫폼 정책·신뢰 문제를 한 번에 밟을 수 있음. - 이미지 품질 보존을 위한 장치도 들어 있다고 주장함 - diffusion 재생성 전에 YOLO로 사람 얼굴을 감지해 추출함 - 재생성 후 원래 얼굴을 soft elliptical mask로 다시 blend해 얼굴 왜곡을 줄인다고 설명함 - Analog Humanizer라는 기능은 film grain과 chromatic aberration을 넣어 화면을 촬영한 사진처럼 보이게 만든다고 함 - 이 기능은 AI image classifier를 우회한다는 표현까지 포함하고 있어 꽤 노골적임 - 메타데이터 제거 범위도 넓게 잡혀 있음 - Stable Diffusion이나 Midjourney가 남기는 prompt, seed, model hash, sampler settings 같은 EXIF 정보를 언급함 - Instagram, Facebook, X에서 “AI로 제작됨” 라벨에 쓰일 수 있는 XMP DigitalSourceType도 제거 대상으로 적음 - ComfyUI workflow나 AUTOMATIC1111 parameters가 들어간 PNG text chunk도 처리한다고 함 - Google Imagen, OpenAI DALL-E, Adobe Firefly의 C2PA Content Credentials manifest도 제거 대상으로 둠 - 다만 표준적인 Author, Copyright, Title 같은 메타데이터는 보존한다고 설명함 - 지원 표를 보면 서비스별 대응 방식이 다름 - Gemini/Nano Banana/Gemini 3 Pro는 visible sparkle logo, SynthID v1·v2, C2PA·EXIF를 모두 언급함 - DALL-E 3와 ChatGPT 이미지는 주로 C2PA manifest 제거 쪽으로 설명함 - gpt-image-2는 imperceptible pixel watermark가 있을 수 있지만 공개 detector는 아직 없다고 적음 - Stable Diffusion은 DWT나 steganographic watermark, PNG text chunk를 다룸 - Adobe Firefly는 Content Credentials, Midjourney는 EXIF와 XMP metadata를 대상으로 설명함 - 기술적으로 아직 빈틈도 명시되어 있음 - SynthID-Image v2 자동 회귀 테스트는 아직 구현되지 않았다고 밝힘 - Google의 SynthID Detector portal에 programmatic access가 필요하거나 offline surrogate detector가 필요하다고 설명함 - AVIF, HEIF, JPEG-XL에서는 top-level C2PA uuid와 JUMBF boxes 제거를 언급하지만, 컨테이너 내부 EXIF/XMP box는 아직 완전히 scrub하지 못한다고 함 - 비디오 워터마크 제거는 별도 패키지 범위로 분리되어 있고 이 저장소에는 넣지 않는다고 함 - 흥미로운 건 “안 하는 것”도 선을 그었다는 점임 - Nightshade, Glaze, PhotoGuard 제거는 지원하지 않겠다고 밝힘 - 이유는 이것들이 작가가 AI 학습 수집으로부터 자기 작업물을 보호하기 위한 방어적 perturbation이기 때문임 - AI provenance 제거와 작가 보호 기술 제거를 구분하려는 태도는 README에서 꽤 분명하게 나옴 - 법적 경고도 README에서 상당히 길게 다룸 - EU AI Act Article 50(2)는 표시 의무가 2026년 12월 2일로 연기된 상태라고 설명함 - 미국 연방 COPIED Act는 2025년에 제정됐고, 출처를 속일 의도로 provenance 정보를 제거하는 행위를 범죄화한다고 적음 - 중국은 AI 콘텐츠 visible label 의무가 있고 제거가 행정 위반이 될 수 있다고 설명함 - 미국 주 단위 법은 선거 딥페이크나 성적 딥페이크처럼 콘텐츠 유형별 규제가 있다고 정리함 > [!IMPORTANT] > README가 직접 짚는 핵심은 “워터마크 제거는 익명화가 아니다”임. 원본이 생성 계정, Gemini 기록, Google 제품 업로드, 백업 같은 서버 쪽 기록을 거쳤다면 파일 복사본에서 신호를 지워도 생성자 연결 가능성이 남을 수 있음. - 사용 사례도 맞는 경우와 안 맞는 경우를 나눠 적음 - 직접 생성한 이미지를 공개하면서 그 결과를 감수하는 경우 - 보안·강건성 평가를 하는 경우 - 사람이 편집한 사진에 잘못 붙은 AI 라벨을 제거하는 경우 - 반대로 AI 생성물을 사람 작품처럼 속이거나, Google 추적에서 익명화될 거라고 믿는 경우는 threat model에 맞지 않는다고 못박음 - 전체적으로 보면 기술보다 신뢰 인프라 논쟁에 가까움 - AI 이미지가 늘수록 provenance와 watermark는 플랫폼·규제·저작권 쪽의 기본 인프라가 되고 있음 - 동시에 이런 제거 도구는 그 인프라가 얼마나 쉽게 공격받을 수 있는지도 보여줌 - 개발자 입장에서는 “탐지 신호 하나만 믿는 설계”가 얼마나 취약한지 보는 사례로 읽을 만함 --- ## 기술 맥락 - 이 프로젝트가 건드리는 선택은 AI 콘텐츠 출처 표시를 파일 내부 신호에 얼마나 의존할 수 있느냐예요. C2PA manifest, EXIF/XMP, SynthID 같은 신호는 각각 목적이 다르지만, 사용자가 파일을 다시 저장하거나 재생성하거나 메타데이터를 지우면 방어선이 흔들릴 수 있거든요. - 보이는 워터마크와 보이지 않는 워터마크는 공격 방식도 달라요. 로고 오버레이는 alpha blending을 역산하고 inpainting으로 흔적을 줄이는 식으로 접근할 수 있지만, SynthID 같은 신호는 픽셀이나 주파수 영역에 숨어 있어서 diffusion regeneration처럼 이미지를 다시 만드는 접근이 등장해요. - C2PA는 암호학적 provenance를 제공하지만, 파일에 붙은 manifest를 제거하는 공격 자체를 막아주는 만능 장치는 아니에요. 그래서 신뢰 모델은 “파일 안에 서명이 있다”에서 끝나면 안 되고, 플랫폼 정책, 서버 기록, 검증 로그, 배포 경로까지 같이 봐야 해요. - README가 서버 쪽 기록을 강조하는 이유도 여기예요. 사용자가 가진 복사본에서 워터마크를 지워도, 생성 서비스가 계정·세션·원본 파일 기록을 갖고 있으면 추적 가능성은 남아요. 즉 이건 익명화 도구라기보다 파일 표면의 탐지 신호를 건드리는 도구에 가까워요. ## 핵심 포인트 - Gemini 계열의 보이는 sparkle 로고는 alpha blending 역산과 inpainting으로 제거한다고 설명 - SynthID·StableSignature·TreeRing 같은 보이지 않는 워터마크는 diffusion regeneration으로 우회한다고 주장 - C2PA, EXIF, XMP, PNG text chunk 같은 provenance metadata 제거 기능과 법적 경고가 함께 포함됨 ## 인사이트 이 프로젝트는 단순 이미지 유틸이라기보다 AI provenance 체계가 얼마나 공격 표면이 넓은지 보여주는 사례다. 동시에 ‘워터마크를 지우면 익명화된다’는 착각도 깨는데, 생성 서비스가 서버 쪽 계정·세션 기록을 갖고 있으면 파일 한 장 고친다고 추적 가능성이 사라지는 건 아님.