작성자: Masha Borak
보도일자: 2025년 4월 14일
출처: Biometricupdate.com


AI로 생성된 가짜 인물, 예를 들어 허위 입사지원서나 임원을 사칭하는 딥페이크 음성·영상을 이용한 사기 수법이 대기업과 중소기업을 가리지 않고 점점 더 많은 기업을 겨냥하고 있다. 이에 대응하기 위해, 딥페이크 탐지 전문 기업들이 신규 솔루션을 잇따라 출시하고 있으며, 유명 투자자들로부터 자금을 유치하고 있다.

가짜 직원과 가짜 임원들

기업들은 최근 AI로 생성된 가짜 이력서와 지원자 프로필을 점점 더 많이 받고 있다. 시장조사기관 가트너(Gartner)에 따르면, 2028년까지 전체 입사지원자의 4명 중 1명이 가짜일 것으로 전망되고 있다. 특히 사이버보안과 암호화폐 관련 기업들이 집중 표적이 되고 있는데, 이들은 재택근무(remote work)를 허용하는 경우가 많기 때문이다.

가짜 직원을 채용하게 되면 다음과 같은 위험이 발생할 수 있다: 악성코드 설치, 랜섬 요구, 기업 기밀 및 데이터 탈취, 자금 접근 및 횡령. 뿐만 아니라, 경우에 따라 정치적 리스크로까지 번질 수 있다.

실제로 지난해 미국 법무부는 북한과 연계된 인물들을 IT 인력으로 고용한 미국 내 기업이 300곳 이상에 이른다고 발표한 바 있다. 현재 이 같은 ‘가짜 직원 산업’은 러시아, 중국, 말레이시아, 한국 등 다양한 국적의 범죄 조직으로 확산되고 있는 중이라고 CNBC는 전했다.

이러한 사기범들은 위조된 사진 신분증, 허위 경력사항 등을 활용해 면접까지 통과하는 경우도 많다. 이에 따라, 디지털 자산 복구 플랫폼 CAT Labs의 CEO 겸 창립자인 릴리 인판테(Lili Infante)는 다음과 같이 밝혔다: “우리는 최근부터 지원자 식별 검증 도구(identity verification tools)를 적극 도입해 허위 지원자를 걸러내는 데 활용하고 있다.”

가짜 임원 사칭 사기 역시 여전히 계속되고 있다.

지난주에는 싱가포르에 본사를 둔 한 다국적 기업이 499,000달러(약 6억 8천만 원)를 거의 송금할 뻔한 AI 사칭 사건이 현지 언론의 헤드라인을 장식했다. 사기범은 해당 회사의 최고재무책임자(CFO)를 사칭해 WhatsApp을 통해 재무 담당 이사에게 접근했고, 이후 Zoom 화상회의까지 설정해 사기범 일당과 통화하도록 만들었다. 이들은 딥페이크 기술을 활용해 목소리와 외모를 정교하게 조작했다.

다행히도, 재무 담당 이사가 의심을 품고 싱가포르 경찰에 즉시 신고했고, 이에 따라 경찰은 홍콩 당국과의 공조를 통해 사기범의 돈세탁 계좌에 입금된 자금을 회수할 수 있었다고 밝혔다.

한편, 작년에도 홍콩에 본사를 둔 한 기업이 유사한 딥페이크 영상 사기에 속아 2,500만 달러를 송금한 바 있다.

기업들, 딥페이크 위협에 맞서 방어벽 구축 중

기업들은 이러한 딥페이크 사기 시나리오를 방지하기 위해 다양한 솔루션 개발에 박차를 가하고 있다.

딥페이크 기반 사칭 방어를 전문으로 하는 보안 기업 Reality Defender는 작년, 기업용 화상회의 플랫폼에 통합 가능한 실시간 분석 도구를 선보였다. 이 도구는 사람의 눈으로는 감지하기 어려운 영상 내 미세한 인공 흔적(artifact)과 비일관성을 실시간으로 탐지할 수 있다고 회사는 설명했다.

현재 보안 담당자들이 주로 집중하고 있는 딥페이크 탐지 지표는 다음과 같다: 조명 비일관성, 부자연스러운 눈 움직임, 음성과 영상의 싱크 오류, 경계 왜곡(예: 지원자에게 얼굴 앞에 손을 대보라고 요청하는 ‘손 테스트’ 등).

또한, 다음과 같은 행동 기반 지표도 병행 모니터링된다: 예상치 못한 질문에 대한 반응 지연, 기계적인 말투, 상황 이해 부족 등 문맥 해석력 결함. Reality Defender의 공동 창립자이자 CEO인 벤 콜먼(Ben Colman)은 자사 블로그에서 다음과 같은 기술 기반 검증 수단도 도입되고 있다고 설명했다: 인터뷰 도중 IP 주소 분석, 지원자에게 화상 플랫폼 변경을 요구하는 실시간 테스트 방식 도입 등. 이러한 방식은 딥페이크 사기 여부를 탐지하고, 신뢰할 수 있는 실사용자를 식별하는 보안 레이어로 작용한다.

“오늘날 인간의 눈에 감지되는 것들도, 생성형 AI 기술이 빠르게 진화함에 따라 내일이면 식별이 불가능해질 수 있습니다.”라고 벤 콜먼(Ben Colman) CEO는 경고한다. “앞서 언급한 수동 탐지 기법들은 지금은 어느 정도 효과적인 것처럼 보일 수 있지만, 딥페이크 기술이 인간의 자연스러운 움직임, 표정, 주변 환경과의 상호작용까지 정교하게 재현하는 수준으로 발전하면서 점점 신뢰도가 떨어지고 있다.”

음성 기반 사기 탐지 전문 기업 Pindrop은 현재는 콜센터 음성 사기 탐지에 초점을 맞추고 있지만, 향후에는 영상 인증(video authentication) 분야로 사업 축을 확대할 가능성도 있다고 CNBC는 전했다. 이 회사는 Andreessen Horowitz와 Citi Ventures의 지원을 받고 있다.

한편, AI 보안 위협 대응에 특화된 신생 기업 Adaptive Security는 4월 초, 4,300만 달러(약 580억 원) 규모의 투자 유치에 성공했다고 발표했다. 이번 투자 라운드는 Andreessen Horowitz(a16z), OpenAI 스타트업 펀드가 주도했다.

Adaptive Security는 AI 기반 사칭 공격(social engineering)을 시뮬레이션하는 솔루션을 제공하고 있다. AI가 생성한 가짜 인물이 음성, 문자(SMS), 이메일을 통해 직원에게 자금을 이체하도록 유도하는 사기 상황을 실시간 재현해 직원의 대응 역량을 테스트한다. 또한, 실시간 메시지 분석, 위험 점수(Risk Scoring) 기능도 함께 제공하여 피싱 및 사칭 사기 감지에 대한 조직의 대응력을 강화할 수 있도록 돕는다.

“공격자는 이제 단 몇 초 만에 동료, CEO, 심지어 당신 자신까지도 사칭하는 사실적인 AI 인물(페르소나)을 생성할 수 있습니다. 이러한 딥페이크 페르소나는 전화 통화, 이메일 전송, 문자 메시지 발송 등을 통해 당신의 팀에 접근하며, AI가 생성한 콘텐츠는 실제처럼 완벽하게 들립니다. 이들은 공개된 대형언어모델(LLM)과 공개 데이터베이스를 기반으로 구축되며, 당신의 보안 체계를 교묘히 우회하도록 정밀하게 조정(fine-tuned)됩니다.”

이와 동시에, 딥페이크 및 AI 사기 방지 시장에 진입하는 기업들도 증가하고 있다. 보스턴 소재 스타트업 Modulate은 지난주 VoiceVault라는 이름의 실시간 음성 사기 탐지 AI 도구를 출시했다. 회사에 따르면, 이 AI 모델은 다음과 같은 요소를 기반으로 음성 채널 상의 사기 및 사칭 시도를 탐지한다: 대화 맥락 이해, 어조와 감정 신호 분석, 화자의 의도 파악. VoiceVault는 실시간 분석을 통해 사기 가능성을 차단하는 것을 목표로 하고 있다.