눈과 귀를 더 이상 믿을 수 없다
Palo Alto Networks의 임원은 최근 Euronews 인터뷰에서 이렇게 말했습니다. "You can no longer trust what you see and hear." 보이는 것도, 들리는 것도 더 이상 믿을 수 없다는 뜻입니다.
이 말이 과장이 아닌 시대가 왔습니다. 딥페이크 기술이 이제 구독형 서비스(Deepfake-as-a-Service, DaaS) 형태로 제공되기 시작했습니다. 월 단위 요금만 내면 누구나 타인의 얼굴과 목소리를 복제할 수 있는 도구를 손에 넣게 된 것입니다.
복제에 필요한 재료는 의외로 간단합니다. SNS에 공개된 사진 몇 장, 유튜브에 올린 영상 몇 분이면 충분합니다. 이 정도 데이터만으로 특정 인물의 얼굴 표정, 말투, 목소리 톤까지 재현하는 딥페이크 영상을 생성할 수 있습니다.
이 기술을 악용한 사기가 빠르게 늘고 있습니다. 특히 기업의 CEO나 임원을 사칭해 긴급 송금을 지시하는 유형이 급증하고 있습니다. 화상 회의 화면에 나타난 상대가 진짜 임원인지, 딥페이크인지 구별하기가 점점 어려워지고 있습니다.
주요 사기 유형
딥페이크를 이용한 사기는 다양한 형태로 발생하고 있습니다.
CEO 사칭 송금 사기. 가장 피해액이 큰 유형입니다. 홍콩에서는 딥페이크로 위조된 임원의 화상 회의를 통해 직원에게 송금을 지시한 사건이 발생했습니다. 피해액은 약 2,500만 달러(약 340억 원)에 달했습니다. 화면 속 임원의 얼굴과 목소리가 모두 정교하게 복제되어 있었기 때문에, 해당 직원은 의심 없이 지시를 따랐습니다.
채용 사기. 원격 면접에서 딥페이크를 사용해 다른 사람으로 위장하는 사례가 나타나고 있습니다. 면접을 통과한 뒤 실제로 채용되면, 내부 시스템 접근 권한을 얻게 됩니다. 기업 입장에서는 내부자가 곧 공격자가 되는 셈입니다.
합성 신원 사기. AI로 생성한 가짜 신분 정보(사진, 이름, 주민번호 등)를 이용해 금융 계좌를 개설하는 사례도 늘고 있습니다. 실존하지 않는 인물이 실존하는 것처럼 금융 시스템에 등록되는 것입니다.
Experian의 2026년 보고서에 따르면, 기업의 73%가 사이버 사기 피해를 경험한 적이 있다고 응답했습니다. 사이버 사기는 이제 랜섬웨어를 넘어 CEO들이 가장 우려하는 위협 1순위가 되었습니다.
기존 방어가 무력해진 이유
불과 몇 년 전까지만 해도 피싱 메일은 비교적 쉽게 구별할 수 있었습니다. 어색한 문법, 부자연스러운 표현, 의심스러운 링크가 눈에 띄었기 때문입니다. "계정이 정지됩니다"라는 제목의 이메일에 오타가 가득하면, 대부분의 사람이 무시할 수 있었습니다.
AI가 그 한계를 없앴습니다. 공격자는 대상의 SNS 프로필, 업무 이력, 인맥 관계를 자동으로 수집합니다. 이 정보를 바탕으로 맞춤형 메시지를 생성합니다. 문법은 완벽하고, 내용은 그럴듯합니다. 수신자가 최근 어떤 프로젝트를 진행 중인지까지 반영된 메시지가 도착하면, 의심하기 어렵습니다.
여기에 영상과 음성 복제까지 더해지면 상황은 더 심각해집니다. 예전에는 "전화로 직접 확인하세요"가 유효한 대응책이었습니다. 하지만 전화를 걸었을 때 응답하는 목소리마저 딥페이크로 위조될 수 있다면, 전화 확인이라는 방어선도 무너집니다. 화상 회의에서 얼굴을 보면서 대화하는 것조차 신뢰할 수 없게 됩니다.
공격의 정교함이 올라간 만큼, 방어의 기준도 달라져야 합니다.
지금 할 수 있는 대응법
완벽한 방어는 없지만, 피해 가능성을 줄이는 구체적인 방법은 있습니다.
1. 긴급 송금 요청은 별도 채널로 반드시 확인합니다. 이메일이나 화상 회의에서 송금 지시를 받았다면, 해당 채널이 아닌 다른 수단으로 본인 여부를 확인해야 합니다. 직접 전화를 걸거나, 가능하면 대면으로 확인하는 것이 가장 확실합니다. 발신자가 먼저 연락해 온 채널을 그대로 사용하지 마십시오.
2. 고액 거래에는 다중 승인 절차를 도입합니다. 한 사람의 지시만으로 대규모 송금이 이루어지는 구조는 위험합니다. 일정 금액 이상의 거래에는 최소 두 명 이상의 승인이 필요하도록 내부 절차를 정비해야 합니다.
3. 화상 회의에서 예상 못한 질문으로 검증합니다. 딥페이크는 사전에 준비된 시나리오에는 강하지만, 예측하지 못한 질문에는 대응이 어렵습니다. "지난주 회식 장소가 어디였지?"처럼 공개되지 않은 정보를 물어보면 위조 여부를 파악하는 데 도움이 됩니다.
4. 채용 과정에서 대면 면접 또는 신원 조회를 강화합니다. 원격 면접만으로 채용이 완료되는 프로세스는 딥페이크 위장에 취약합니다. 최소 한 번은 대면 면접을 진행하거나, 신분증 검증과 신원 조회를 철저히 수행해야 합니다.
5. SNS 공개 범위를 최소화합니다. 공개된 사진과 영상이 많을수록 딥페이크 생성이 쉬워집니다. 프로필 사진, 음성이 포함된 영상의 공개 범위를 줄이는 것만으로도 공격자가 사용할 수 있는 재료를 제한할 수 있습니다.
딥페이크 사기는 기술의 문제이기도 하지만, 결국 사람의 판단에 의존하는 사회공학 공격입니다. "보이는 대로 믿지 않겠다"는 의식적인 습관이 가장 기본적인 방어선이 됩니다.
참고