AI의 전방위적 확산이 현실이 된 지금, 미국은 개인정보 보호부터 국가 안보까지 위협하는 합성 미디어의 부상에 어떻게 대응하고 규제할지를 놓고 중대한 갈림길에 서 있다.

이 논쟁의 중심에는 하원 에너지 및 상무위원회의 예산조정안에 조용히 삽입된 조항이 있다. 이 조항은 AI 시스템, 특히 딥페이크와 같은 AI 생성 콘텐츠에 대한 모든 주 및 지방 차원의 규제를 향후 10년간 금지하는 모라토리엄(유예 조치)을 제안하고 있다. 만약 이 모라토리엄이 통과된다면, 주와 지방정부는 AI 모델이나 자동 의사결정 시스템을 규율하는 어떤 법률도 제정하거나 집행할 수 없게 된다.

공화당이 지지하는 이 모라토리엄의 명분은 각 주마다 다른 규제가 뒤섞이는 혼란을 막고, 통일된 연방 차원의 감독 체계를 구축하겠다는 데 있다. 그러나 이처럼 AI 규제에 대한 연방의 광범위한 우선권을 인정하는 것은, 딥페이크 기술이 그 어느 때보다 빠르고 강력하게 확산되는 지금 시점에서 매우 위험한 결과를 초래할 수 있다.

Sumsub이 2025년에 발표한 보고서에 따르면, 딥페이크 관련 사건이 전년 대비 무려 245%나 증가했다. 이 급증은 단순한 통계 수치를 넘어 실제 사람들의 삶과 기관, 경제에 실시간으로 영향을 미치고 있다. 조사에 응답한 임원 중 26%는 자신들의 재무 또는 회계부서가 지난 1년간 딥페이크 기반 사기에 노출된 적이 있다고 밝혔다. 이 기술의 접근성과 저렴한 비용은 남용을 가속화하고 있으며, 악의적인 행위자들이 최소한의 전문 지식만으로도 설득력 있는 가짜 음성, 이미지, 영상 등을 실시간으로 생성할 수 있게 만들고 있다.

한편, 입법 대응은 이러한 기술 발전 속도를 따라가지 못하고 있다. 현재 대부분의 법률은 피해가 발생한 후에야 딥페이크를 다루고 있으며, 그로 인해 침해 사실을 감지하고 대응해야 하는 책임이 피해자에게 전가되고 있다. 문제는 이러한 침해가 대개 너무 늦게 드러난다는 데 있다.

이와 동시에 연방 차원의 규제 정체 상태는 주 정부들이 보이고 있는 보다 적극적인 대응과는 대조적이다. 지난 2년 동안 미국의 각 주에서는 비동의 성적 이미지부터 정치적 허위 정보에 이르기까지 딥페이크와 관련된 법안이 120건 이상 도입되거나 제정되었따. 캘리포니아는 한 달 동안 8건의 합성 미디어 관련 법안을 통과시켰으며, 테네시와 아이오아는 AI로 생성된 성적 콘텐츠를 형사 범죄로 규정했다. 뉴저지는 악의적인 딥페이크 제작에 대해 최대 3만 달러의 벌금을 부과하는 법률을 최근 시행했다.

이러한 주(州) 법률들은 단지 입법적 형식일 뿐만 아니라, 디지털 공간을 기만으로부터 보호하라는 명확한 대중의 요구를 반영하고 있다. 주 정부들을 이 방정식에서 배제하는 것은 미국이 딥페이크 규제에서 이뤄낸 유일한 실질적 진전을 중단시킬 위험이 있다.

캘리포니아 주 민주당 의원인 조시 로웬설(Josh Lowenthal)은 “우리는 지금 매우 위험한 시기에 있으며, 우리가 하는 모든 일에서 수세에 몰려 있다”고 말했다.

Reality Defender의 공동 창립자이자 CEO인 벤 콜먼(Ben Colman)은 “주 및 지방 정부 규제를 포괄적으로 무력화하는 것은 시민과 조직을 새로운 위협에 취약하게 만들 수 있는 잠재적 보안 공백을 야기한다”고 지적했다. 그는 이어 “기술적 솔루션과 함께 균형 잡힌 규제 프레임워크를 공동으로 개발하는 것이 혁신과 신뢰를 동시에 실현할 수 있는 AI 환경을 조성하는 가장 유망한 길”이라고 덧붙였다.

그러나 현실은 즉각적인 개입의 시급함을 더욱 부과시키고 있다고 주(州) 입법자들과 프라이버시 권리 옹호자들은 주장한다. 예를 들어, 지난 4월 미국 연방수사국(FBI)은 AI로 생성된 음성과 문자 메시지를 이용해 미국 고위 공직자들을 사칭하는 대규모 스미싱(smishing) 및 비싱(vishing) 사기 캠페인에 대해 경고를 발령했다. 공격자들은 이러한 메시지를 통해 피해자들을 다른 플랫폼으로 유도한 후 로그인 자격 증명을 탈취하거나 금전을 요구했다.

정보보안미디어그룹(Information Security Media Group)은 금요일 보도에서 “트랜스유니온(TransUnion)의 새로운 보고서에 따르면 합성 신원(synthetic identity) 및 신용 세탁(fraudulent credit washing) 사기가 또 다시 사상 최고치를 경신했으면 둔화될 기미는 보이지 않는다”며 “AI 기반 보험 사기에서 글로벌 악성코드 제거 작전까지, 오늘날의 사기 지형은 모든 부문과 시스템에서 경계를 요구하고 있다”고 밝혔다.

이러한 수법은 민간 부문에서 발생한 유사한 사기 수법들과도 유사하다. Arup과 페라리(Ferrari)와 같은 기업들이 AI 기반 사기로 수백만 달러의 손실을 입은 바 있다. 과거에는 공상과학 소설에서나 나올 법했던 일이 이제는 매일의 운영 위협이 되었으며, 이는 통신망에 자연스럽게 스며들고 기존의 규제 체계가 감당하지 못하는 틈을 교묘히 파고든다.

그럼에도 불구하고, 트럼프 행정부 하의 연방 정부는 보안보다 규제 완화를 우선시하는 노선을 택해왔다. 과학기술정책실(OSTP)이 주도하고 1만 건 이상의 공개 의견을 반영해 수립된 AI 행동 계획(AI Action Plan)은 미국의 혁신을 핵심 가치로 내세우고 있다. 그러나 이러한 수사적 표현 이면에는 보호 장치의 체계적인 해제가 자리 잡고 있다.

가짜 정보(disinformation), 생체 보안, AI 위험 모델링과 관련된 미 국립과학재단(NSF) 보조금 총 3억 2,800만 달러 이상이 삭감되었으며, 여기에는 선거 보안 및 딥페이크 탐지 연구를 지원하던 자금도 포함된다. 행정부는 또한 딥페이크 콘텐츠 대응 노력을 ‘표현의 자유’에 대한 위협으로 간주하며, 콘텐츠 조정과 이념적 검열을 혼동하는 입장을 취하고 있다.

이러한 규제 완화 중심의 행정명령은, 이전 행정부가 AI 투명성 이니셔티브를 지지함으로써 표현의 자유를 억압했다는 근거 없는 비난에 기반하고 있다. 이 같은 입장의 결과는 이미 가시화되고 있다. 펜셀베이니아주의 한 사례는 이러한 현실을 잘 보여준다. AI로 생성된 아동 성적 이미지가 적발된 한 경찰관이, 당시 관련 법이 존재하지 않았다는 이유로 기소되지 못했던 것이다. 이후 유사 범죄를 처벌할 수 있는 새로운 금지법이 시행된 후에야, 별개의 사건에서 그를 기소할 수 있었다.

아이오와주에서는 고등학생들이 동급생들의 딥페이크 누드 이미지를 유포한 사건에서, 검찰이 정의 실현에 어려움을 겪었다. 국경을 넘는 법적 관할 문제와 해외 앱 개발자의 비협조로 인해 수사와 기소가 복잡해졌으며, 이는 국제적 집행 역량의 공백을 드러냈다.

한편, 법원에서는 딥페이크를 규제하기 위해 제정된 법률 자체에 대한 소송이 제기되기 시작했다. 캘리포니아주의 한 딥페이크 규제법은 연방법원의 판단에 따라 일시적으로 중단되었는데, 판사는 해당 법이 너무 포괄적이고 정교하지 못하다고 지적했다. 반대측은 특히 정치적 맥락에서 풍자와 패러디 표현의 자유를 침해한다고 주장하고 있다. 원고에는 보수 성향 콘텐츠 제작자들과 플랫폼인 럼블(Rumble), 엑스(X, 구 트위터) 등이 포함되어 있으며, 이들은 딥페이크 규제법이 표현의 자유와 기술 혁신을 저해한다고 주장했다.

그러나 규제에 대한 반대는 통제되지 않은 생성형 미디어가 초래하는 엄청난 위험을 무시할 수 없다. 딥페이크 사칭은 더 이상 풍자나 성인 콘텐츠에 국한되지 않는다. 이는 이미 미 상원의원들을 가짜 외교 관계자와의 회의로 속이거나, CEO의 목소리를 가장한 WhatsApp 메시지 사기, 정치적으로 불안정한 지역에서 조작된 영상으로 여론을 왜곡하는 데 사용되고 있다.

음성 인증 전문 기업 핀드롭(Pindrop)은 2024년에 딥페이크 음성 공격이 683% 증가했으며, 주요 금융기관을 대상으로 하루 최대 7건의 합성 음성 사기가 발생하고 있다고 밝혔다. 현재의 과제는 단순히 ‘누구인지’를 판별하는 것이 아니라, ‘실존하는 사람인지’를 검증하는 것이다. 미국은 이제 이처럼 실존 여부까지 확인해야 하는 수준의 본질적인 검증 과제에 직면해 있다.

이러한 위기가 고조되고 있음에도 불구하고, 연방 정책은 산업계, 법 집행기관, 시민 사회의 요구에 여전히 뒤처져 있다. 행정부의 AI 행동 계획(AI Action Plan)에 제출된 의견들은 생성형 미디어가 단순히 주변 이슈가 아니라, 경제와 사회적 신뢰를 위협하는 핵심 요소임을 분명히 보여준다.

아이프루브(iProov)와 메시징·악성코드·모바일 악용 방지 워킹그룹(Messaging, Malware and Mobile Anti-Abuse Working Group) 등 여러 단체는 라이브니스(liveness) 검증, 실시간 탐지 시스템, 생체인식 인증 표준에 대한 연방 정부의 투자를 촉구해 왔다. 이들의 메시지는 분명하다. “현실을 검증할 수 있는 국가적 인프라가 없다면, 인공지능의 도입은 불신의 무게에 짓눌려 실패할 것이다.”

그럼에도 불구하고, 트럼프 행정부는 이러한 위험을 완화하기 위한 포괄적인 로드맵을 제시하지 않았다. 오히려 바이든 행정부 시절 제정된 AI 규제 관련 행정명령과 정책들을 폐지하고, 보안 장치를 마련하기보다는 “혁신에 대한 장벽 제거”에 초점을 맞추고 있다. 민간 부분의 민첩성에 기반한 이와 같은 미국식 AI 리더십 비전은, AI 기반 딥페이크로 인해 명백히 드러나 구조적 취약성을 간과하고 있다.

신뢰 없는 혁신은 지속 가능하지 않다. 만약 미국인들이 자신이 보고, 듣고, 읽는 것을 믿지 못하게 된다며, 그 어떤 기술이 아무리 효율적이고 지능적이며 경제적으로 유익하더라도 그 기술에 참여하려 하지 않을 것이다.

AI 규제가 창의성과 경제 성장을 저해해서는 안 된다는 주장은 타당하지만, 그 해결책은 규제를 전면 중단하는 것이 아니라, ‘현명하게 구축하는 것’이다. 즉, 연방 정부는 고위험과 저위험 AI 사용 사례를 구분하고, 산업계의 협력을 장려하며, 연방 정부가 행동하지 않을 경우 주 정부가 개입할 수 있도록 하는 일몰 조항(sunset clause)을 포함한 규제 프레임워크를 마련해야 한다.

이는 또한 탐지 및 진위 확인 연구에 대한 연방 정부의 자금 지원을 복원하고, AI 생성 콘텐츠에 출처 표시(provenance markers)를 의무화하며, 미디어 리터러시 향상을 위한 대국민 교육 캠페인을 시작해야 한다는 의미이기도 하다.

미국은 딥페이크를 단순한 법적 호기심이나 시민 자유 논쟁으로 다뤄서는 안 된다. 딥페이크는 사기, 조작, 디지털 교란의 도구다. 업계 전문가, 공직자, 사이버보안 기관들 사이에서도 커져가는 공감대는 분명하다. 바로 합성 미디어는 규제되어야 한다는 것이다. 그것도 선제적이고, 비례적이며, 이념에 치우치지 않는 방식으로 말이다. 이 문제의 본질은 자유와 규제 중 하나를 선택하는 것이 아니라, 혼란과 질서 사이에서의 선택이다.

연방 정부의 대안 없이 주 정부의 조치를 10년간 금지하는 것은, 가장 결정적인 행동이 요구되는 순간에 규제 마비(regulatory paralysis)를 초래할 수 있다. 딥페이크는 정책 논쟁을 기다려주지 않는다. 그것은 진화하고, 확산되며, 사회를 불안정하게 만든다. 정부의 대응이 늦어질수록, 대중의 신뢰를 회복하고 유해한 합성 미디어를 제어하기는 점점 더 어려워질 것이다.

결국, 신뢰를 최우선 원칙으로 삼지 않는 AI 전략은 설득력을 갖기 어렵다. 신뢰는 통치의 사치가 아니라, 혁신과 경제 성장, 시민 참여가 뿌리낼수 있는 토대다. 신뢰 없이 미국의 AI 프로젝트는 세계를 선도하기는커녕, 환상 속에서 길을 잃고 말 것이다.