딥페이크, 이제 남의 일이 아니다
2024년 1월, 영국의 글로벌 엔지니어링 기업 아루프(Arup)에서 황당한 일이 일어났다. CEO라고 주장하는 사람과의 화상회의에서 2,500만 달러(약 340억 원)를 송금하라는 지시를 받은 것이다. 문제는… 그게 CEO가 아니었다는 거다. 딥페이크로 만든 가짜 CEO였다. 더 충격적인 건 CEO 음성 데이터 고작 5분 분량이면 이런 AI 모델을 만들 수 있다는 거다. ㅠㅠ
이건 먼 나라의 이야기처럼 들릴 수도 있지만, 2025년 1분기만 해도 북미 지역에서 딥페이크 사기로 인한 손실액이 2억 달러를 초과했다. 매달 기록이 갱신되고 있다는 뜻이다.
기업을 표적으로 한 AI 기반 사기의 실체 · 딥페이크와 스피어피싱의 결합 메커니즘 · 실제 피해 사례와 공통점 · 현실적인 방어 전략
딥페이크와 스피어피싱, 왜 지금 결합하는가
딥페이크도 옛날 이야기고, 스피어피싱도 옛날 이야기다. 문제는 둘이 만났다는 거다.
AI가 맞춤형 스피어피싱을 생성하는 기술이 급속도로 발전했다. 대상자의 SNS 게시물, 구매 이력, 관심사를 AI가 분석해서 개인 맞춤형 메시지를 만드는 것이다. “와, 너 최근에 이거 샀어?” “너 이 회의에 참석했잖아” 같은 식으로 엄청 구체적인 정보를 담아서 보낸다. 신뢰도가 확 올라가는 거지.
여기에 딥페이크 화상회의나 음성 통화가 더해지면? 아루프처럼 CFO(최고재무담당자) 정도면 “CEO 지시”라고 생각하고 서명한다. 검증 프로세스가 무너지는 거다.
사실 “스피어피싱이 소수 타겟에서 대중으로 확대되는 추세”라는 보도도 있다. 그동안 기술 난제라서 중요 인물만 노렸다면, 이제 대량 생산이 가능해진 거다. 민주화되었다고까지 할 수 있다 — 물론 나쁜 의미로.
“합성 신원” 사기, 생각보다 훨씬 심각하다
아까까지 얘기는 “존재하는 실제 사람을 가장”하는 거였다면, 이건 다르다. 아예 가짜 신원을 만들어서 신용대출을 받거나 구매를 하는 거다. 이름도 가짜, 경력도 가짜, 주소도 가짜 — 근데 AI가 만들어내니까 탐지가 쉽지 않다.
여기서 정신을 못 차리겠는 수치: 2025년 기준 전체 사기의 11%가 이 합성 신원 사기 (Synthetic Identity Fraud)다. 그런데 2024년 대비 8배 증가했다. ;;;
뭐, 이 정도면 충분히 무서운데, 여기에 서비스형 랜섬웨어(RaaS, Ransomware-as-a-Service)까지 등장했다. 해킹 기술이 없어도 구독료만 내면 랜섬웨어 공격을 할 수 있다는 뜻이다. 기술적 진입장벽이 바닥으로 떨어진 거다.
2025년 미국의 AI 사이버 범죄 손실, 압도적이다
추상적인 우려 말고, 실제 수치를 보자.
| 항목 | 2025년 규모 | 포인트 |
|---|---|---|
| 미국 사이버 범죄 총 손실액 | 약 210억 달러 | 전 산업 기준 |
| AI 관련 사이버 범죄 불만 | 22,000건 이상 | 매달 약 1,800건 |
| AI 관련 손실액 | 약 8억 9,300만 달러 | 전체 손실의 4.2% 수준 |
“4.2%? 별로네”라고 생각할 수도 있지만, AI 사이버 범죄가 수면 위로 떠오른 지 3년도 채 안 됐다는 걸 생각하면? 기하급수적 성장 곡선이다. 예측에 따르면 생성형 AI 기반 사기 규모가 2023년 123억 달러에서 2027년 400억 달러로 증가할 예정이다.
기업이 실제로 할 수 있는 방어 전략
자, 그럼 “어떻게 막을 건데?”라는 질문이 나온다. 현실적으로 가능한 대응법을 정리해봤다.
1. 다단계 인증(MFA) + 생체 인증
딥페이크 화상회의로 “CEO 지시”를 받았을 때 일반 패스워드로는 검증이 안 된다. 그런데 생체 인증(지문, 안면 인식)은 딥페이크로 쉽게 우회할 수 없다. 물론 기술은 계속 발전하지만, 적어도 AI 에이전트 실전 전환 수준의 초고난도는 아니다.
특히 금융 거래나 민감한 데이터 접근 시에는 생체 인증을 필수 조건으로 만드는 게 현실적이다.
2. “오프라인 확인” 프로토콜
아루프의 경우 화상회의로 “2,500만 달러 송금” 지시를 받았다. 근데 사전에 이런 규칙이 있었다면?
“일정 금액 이상의 거래는 CEO와 직접 통화로 확인한다” (여기서 직접 통화는 사전에 등록된 개인 휴대폰 번호로 재확인)
음, 이건 구식처럼 들릴 수도 있지만, 엄청 효과적이다. 딥페이크 음성이 5분 데이터로 만들어지지만, 특정 시간에 CEO 개인 휴대폰에서 다시 확인받는 건 무작위성이 높거든. 해킹 난이도가 급상승한다.
3. AI 탐지 솔루션 도입
요즘 딥페이크 탐지 솔루션들이 나오고 있다. 화상회의의 마이크로 제스처(눈 깜빡임 패턴, 입술 싱크로), 배경 일관성, 음성의 자연스러움을 분석하는 방식이다. 100% 정확하지는 않지만, 수상한 신호는 잡아낼 수 있다.
문제는 비용과 오류율인데, 지금 시점에서 “설치만 하고 방치”는 위험하다. 탐지 솔루션도 또 다른 AI와의 계속된 경쟁 상황이거든 (“탐지 회피 AI” vs “탐지 AI”).
4. 직원 교육 + 의심 문화 만들기
기술만 믿으면 안 된다. 가장 효과적인 방어는 여전히 “이상하면 의심하는 직원”이다.
“CEO가 급하게 화상회의를 잡았는데, 왜 다른 임원들이 참석 안 했지?”, “보통 이 정도 결정은 이사회 승인이 필요한데?”, “음음, CEO 목소리 톤이 좀 이상한데…?” 이 정도 감각이 있는 직원이 한 명이라도 있으면 아루프 같은 손실을 막을 수 있다.
정기적인 사기 대응 훈련, 특히 “딥페이크일 수 있다”는 시나리오를 포함한 훈련이 필요하다.
5. 스피어피싱 메시지 분석 AI 도입
근데 AI가 스피어피싱을 하면, AI로 탐지하는 게 현실적이다. 자사 직원의 SNS 프로필, 보안 데이터베이스와 비교해서 “아, 이 메시지는 외부에서 개인화 정보를 수집해서 만들었네”를 탐지하는 거다.
메일 필터는 이미 하고 있겠지만, 메시지 내용의 “타겟 특이성”을 분석하는 추가 레이어가 필요해진다는 뜻이다.
결론: “일단 의심하자”
결국 2026년의 현실은 이거다. 기술만으로 완벽하게 방어할 수 없다. 기업 보안은 기술 + 프로세스 + 인간의 감각이 모두 필요하다는 뜻이다. 특히 딥페이크와 AI 스피어피싱 시대에는 “이게 정말 CEO 목소리일까?”, “이 정보를 왜 갑자기 요청할까?”라는 의심이 가장 싼 방어책이다.
아루프 사건이 남의 일이 아닌 이유는, 충분히 조직 규모와 상관없이 일어날 수 있기 때문이다. 당신의 회사도 예외는 아니다.
자주 묻는 질문 (FAQ)
공개 영상(컨퍼런스, 유튜브, 팟캐스트 등)에서 자동으로 추출되거나, SNS에 올린 음성 메시지, 회의 녹화본 등이 대상이 됩니다. 5분이면 충분히 AI 모델을 학습시킬 수 있습니다.
아니요. 현재 탐지 솔루션도 오류율이 존재하며, 딥페이크 생성 기술도 계속 발전하고 있습니다. 그래서 기술만 믿지 말고 다단계 검증 프로세스가 필요합니다.
작은 회사도 표적이 될 수 있습니다. 오히려 보안 체계가 덜 갖춰져 있어서 더 위험할 수 있습니다. 기업 규모와 상관없이 현실적인 방어 전략(다단계 인증, 직원 교육, 오프라인 확인 프로토콜)이 필수입니다.
도움이 되셨다면 좋아요를 눌러주세요