작성자: Joel R. McConvey
보도일자: 2025년 3월 25일
출처: Biometricupdate.com


고전 소설 모비 딕(Moby Dick)을 읽어본 사람이라면 고래를 잡는 일이 얼마나 어려운지 알 것이다. 하지만 일단 잡기만 하면 그 보상은 엄청나다. 이 공식은 ‘경영진 사칭(Executive Impersonation Fraud)’ 사기에도 그대로 적용된다. 딥페이크 탐지 기업 Reality Defender는 최근 생성형 AI와 무료 딥페이크 엔진의 발전으로 새롭게 부상하고 있는 ‘고래잡이(Whaling) 공격’ 시대를 다룬 글을 발표했다.

여기서 말하는 ‘고래(Whale)’는 반드시 경영진 그 차제가 아니라, ‘경영진인 척’해서 노릴 수 있는 모비 딕급 거액(pay-out)을 의미한다는 점이 흥미롭다. 사기범들은 고위 임원의 신원을 탈취하거나 가로채어 직원들에게 거액 송금을 지시하게 만든다. 대표적인 사례가 딥페이크 줌 회의를 통해 영국 기업 Arup의 홍콩 지사에서 2,500만 달러를 가로챈 사건이다. 이런 측면에서 보면, 사기범들은 아합 선장(Ahan)이라기보다는 ‘듄(Dune)’ 시리즈의 주인공 폴 아트레이데스(Paul Atreides)에 가깝다. 거대한 모래펄레를 타고 약한 존재들을 공격하는 모습과 닮았다.

물론 아직까지는 ‘거대 모래펄레 공격(Giant Sandworming Attack)’이라는 표현이 사기 업계에서 통용되지는 않는다. 하지만 ‘고래잡이(Whaling)’ 사기는 점점 더 거대한 규모로 커지고 있다. Reality Defender는 이렇게 지적한다. “과거에는 경영진을 사칭한 긴급 이메일 정도에 그쳤던 사기가, 이제는 생성형 AI를 통해 음성, 외모, 디지털 신원까지 완벽히 모방하게 되었다. AI 기반 경영진 사칭 사기는 현재 기업 계좌를 털고, 기밀 데이터를 유출하며, 브랜드 신뢰를 파괴하고 있다.”

뉴욕 소재 딥페이크 탐지 전문 기업인 Reality Defender는 ‘고래잡이(Whaling)’ 사기범들이 사용하는 세 가지 주요 공격 경로를 꼽았다.

1. 보이스 피싱(Vishing)
   
   • AI 음성 도구로 생성한 딥페이크 음성을 통해 경영진을 정교하게 흉내 내는 방식
2. 화상회의 공격(Video Conferencing Exploits)
   
   • 가짜 참가자를 회의에 삽입해 사기 행위를 벌이는 수법
   • 앞서 언급한 홍콩 사건이 대표 사례
3. 경영진 브랜드 조작(Executive Brand Manipulation)
   
   • AI 생성 콘텐츠로 기업 경영진을 온라인 상에서 사칭
   • 가짜 뉴스나 금융 사기, 여론 조작 캠페인 등에 활용

Reality Defender는 이처럼 기업 리더를 표적으로 한 AI 기반 사칭 공격이 이미 실질적 위협이 되고 있으며, 앞으로 더욱 심화될 것이라고 경고했다.

블로그는 Truecaller의 연구 결과를 인용하며, 음성 기반 사기(voice-based fraud)로 인한 연간 피해액이 250억 달러에 달한다고 밝혔다. 블로그는 이렇게 설명한다. “보이스 피싱(Vishing) 공격은 인간 심리와 직장 내 기대심리를 교묘히 파고든다. 훈련된 직원이라면 이메일로 온 자금 요청은 의심해볼 수 있지만, 전화기 너머 들리는 목소리가 CFO와 똑같이 들린다면, 지시에 따르는 것이 자연스럽게 느껴진다.”

일부 사례에서는 경영진 자체가 공격 대상인 ‘고래(whale)’가 되기도 한다. “공격자들은 단순히 리더십을 사칭해 직원을 속이는 것이 아니라, 법률 자문이나 규제 기관 인물을 딥페이크로 만들어 긴박감을 조성하고, 경영진이 기업의 최고 수준에서 위험한 결정을 내리도록 유도한다.”

또한 딥페이크 영상의 품질이 고도화되면서, “AI로 생성된 가짜 영상과 음성을 통해 전체 콘퍼런스가 탈취(hijack)당할 수 있는 수준”이라고 밝혔다. “이로 인한 파장은 매우 크며, 악의적 공격자는 금융 사기를 넘어 기업 및 정부 기관의 산업·정보 스파이 활동에도 영상 딥페이크를 악용할 수 있다.” 최근 미국 고위 공직자들의 허술한 데이터 보안 관행이 드러난 사건들을 고려하면, 이는 심각한 문제로 지적된다.

Reality Defender는 다음과 같이 덧붙였다. “C레벨 경영진의 삶은 온라인, TV, 각종 공개 행사 등으로 매우 공공의 영역에 노출되어 있다. 이로 인해 사기범들이 콘텐츠를 수집하기가 쉬워진다.” “공격자들은 명성을 활용한 전략으로 접근하며, 경영진의 온라인 존재감과 커뮤니케이션 스타일을 분석해 매우 설득력 있는 사칭 시나리오를 만든다. 이런 조작된 커뮤니케이션은 브랜드 평판에 심각한 영향을 미치고, 주가 변동성을 촉발할 수 있다.” 이 문제는 여러 플랫폼에서 동시에 사칭 게시물이 등장하는 ‘크로스 채널 검증(cross-channel validation)’ 현상이 등장하면서 더욱 심각해지고 있다고 경고했다.

딥페이크 방어 전략: 사전 인증 절차와 직원 교육이 핵심

거대한 딥페이크 위협에 맞서기 위한 방어책들은 이미 존재한다. 이중 확인 절차(Secondary Verification Protocols)를 통해 다른 커뮤니케이션 채널로 추가 확인을 요구하는 방식은 고액 거래를 보호하는 데 효과적이다. 또한, 딥페이크 탐지 솔루션을 통해 공격을 조기에 포착할 수도 있다. 하지만 Reality Defender는 강조한다. “이제 직원들에게 딥페이크 위협을 교육하는 것은 피싱 위협 교육만큼이나 중요하다.”

사전 정의된 인증 절차(Pre-defined Authentication Protocols)는 딥페이크가 민감한 회의에 침투하는 것을 막을 수 있다. 만약 의심스러운 참가자가 회의에 들어온다면, “직원들은 주저 없이 신원을 직접 확인할 수 있는 채널을 갖고 있어야 한다”고 했다.

또한, 실시간 스트리밍을 알고리즘으로 분석해 영상 조작 여부를 탐지하는 것도 방법이다. 아울러, 경영진의 디지털 흔적(Digital Footprint)을 모니터링해 사칭 시도를 사전에 탐지하는 전략도 필요하다.

마지막으로, Reality Defender는 강조했다. “만약 고래잡이(Whaling) 공격이 발생했을 때를 대비해, 평판 피해를 최소화할 수 있는 위기 대응 매뉴얼(Crisis Playbook)을 마련해 두어야 한다.”

한편, Reality Defender CEO 벤 콜먼(Ben Colman)은 다음 주 라스베이거스에서 열리는 Transact 컨퍼런스에 참석해 발표할 예정이다. 그의 강연 주제는 “AI 시대의 신뢰: 증가하는 딥페이크 위협으로부터의 방어(Trust in the Age of AI: Defending Against the Rising Deepfake Threat)”이며, 2025년 4월 3일(목) 오전 10시 15분(PT)에 진행된다.

필리핀 정부, 딥페이크 방지 앱 출시 추진

영국이 딥페이크를 “온라인 시대 최대 도전 과제”로 선언한 가운데, 전 세계 각국 정부가 딥페이크 방어에 나서고 있다. Philippine News Agency 보도에 따르면, 필리핀 대통령 통신실(PCO)과 사이버범죄 수사조정센터(CICC)가 가짜 뉴스와 각종 사기 근절을 위해 협력하는 내용의 양해각서(MOA)를 체결했다.

이에 따라 신규 사기 신고 핫라인과 디지털 신고 기능이 도입되며, 사기·딥페이크 예방 교육 캠페인도 함께 추진된다. CICC의 알렉산더 라모스(Alexander Ramos) 국장 겸 차관급(Undersecretary)은 “정부의 허위 정보와 딥페이크 대응 캠페인을 강화하기 위해 국가 태스크포스를 신설하고 AI 기반 앱을 출시할 계획”이라고 밝혔다.

정부는 약 200만 필리핀 페소(미화 약 3만 5천 달러)를 해외 개발사로부터 ‘지역화된(regionalized)’ 소프트웨어를 구매하는 데 배정할 계획이라고 전했다.

이미 정부는 딥페이크 콘텐츠를 30초 만에 탐지할 수 있는 딥페이크 탐지 앱을 테스트했다고 밝혔다.

필리핀 내 딥페이크 문제는 심각한 수준이다. PhilStar Global 보도에 따르면, AI 인증 솔루션 기업 Sumsub의 조사 결과, 2023년 필리핀은 아시아·태평양 지역 국가 중 딥페이크 발생 증가폭이 가장 컸다고 한다. 이 보고서에 따르면 2023년 한 해 동안 이 지역의 딥페이크 발생이 전년 대비 평균 1,530% 증가했다. 실제로 필리핀 대통령이 가짜 군사 명령을 내리는 정치적 딥페이크 영상 사례도 발생했다.

기사는 다음과 같이 강력히 주장했다. “더 많은 생명과 명예가 파괴되기 전에, 이제 의회가 딥페이크 문제를 심각하게 받아들이고 대통령이 딥페이크 방지 법안을 시급한 조치로 지정해야 할 때가 됐다.”

인도 정부, 딥페이크 평가 위해 추가 시간 필요

Indian Express 보도에 따르면, 인도 전자정보기술부(MEITy) 산하 소위원회가 ‘딥페이크 문제’를 검토 중이며, 최종 보고서 제출과 논의를 위해 추가로 3개월이 더 필요하다고 밝혔다.

델리 고등법원은 MEITy에 대해 다음과 같이 지시했다. “딥페이크 관련 규칙 및 규제 논의 과정에서 창작자와 예술가들의 의견뿐만 아니라, 광고 업계의 자율 규제 기구인 인도광고기준협의회(ASCI)의 제안도 함께 고려하라.”

Trust Stamp와 Loti AI, 딥페이크·인젝션 공격 방어 신기술 출시

몇몇 생체 인식 기술 업체들이 딥페이크 및 인젝션 공격 방지 신제품 개발에 나섰다. Trust Stamp는 미국 특허청(USPTO)으로부터 ‘생체 존재 증명용 도형 오버레이(Shape Overlay for Proof of Liveness)’ 메커니즘의 특허 출원 허가를 받았다고 발표했다. 보도자료에 따르면, 이 기술은 딥페이크와 인젝션 공격으로부터 원격 신원 인증의 보안을 강화해준다.

이 방식은 “사용자가 랜덤으로 생성된 도형 오버레이에 맞춰 화면에서 직접 상호작용하도록 요구해, 실시간으로 살아있는 사람임을 검증”한다. Trust Stamp의 최고과학책임자(CSO) 노먼 포 박사(Dr. Norman Poh)는 “이 기술은 모든 스마트폰 기종과 가격대에 관계없이 적용 가능한 매우 유연한 챌린지-응답 방식”이라고 설명했다.

한편, Loti AI는 지금까지 ‘공인 및 유명인(A-list celebrities)’에게만 제공하던 얼굴 및 신원 보호 기술을 일반 사용자 누구나 이용할 수 있도록 확대했다. 보도자료에 따르면, 이제 디지털 평판을 보호하고 싶은 사람이라면 누구나 무료로 기술을 사용할 수 있다.

Loti AI의 디지털 신원 보호 및 자동 콘텐츠 삭제 서비스 플랫폼은 매일 인터넷 상의 딥페이크, 사칭, 성인 콘텐츠, 허위·무단 게시물을 스캔하고, 무단 도용된 이미지나 영상이 발견되면 자동으로 신고·삭제 요청한다. Loti AI는 삭제 성공률이 95%에 달하며, 평균 17시간 이내에 삭제가 완료된다고 밝혔다.

Loti AI의 CEO 루크 아리고니(Luke Arrigoni)는 다음과 같이 말했다. “인터넷이 점점 통제 불능 상태가 되고 있으며, 사람들의 디지털 평판이 그 어느 때보다 큰 위협에 처해 있다. 딥페이크부터 무단 음란 콘텐츠까지, 이런 위험은 더 이상 유명인만의 문제가 아니다.” 그는 이어, “우리의 목표는 단순하다. 당신이 허락하지 않은 내 이미지가 온라인에 ‘0’이 되는 것, 바로 그 지점까지 돕는 것이다.”라고 강조했다.