전 세계적으로 하루에도 여러 차례, 상사가 팀원 중 한 명에게 영상 통화 중에 어떤 업무를 수행하도록 요청합니다. 하지만 작업을 할당하는 사람이 정말 그 사람이 맞을까요? 아니면 딥페이크일까요? 이제 직원들은 지시를 맹목적으로 따르는 대신 자신이 사기의 피해자가 되고 있지는 않은지 자문해봐야 합니다.
올해 초, 한 재무 담당 직원은 화상 회의에서 자신의 CFO와 생김새와 목소리가 똑같은 사람과 대화를 나누었습니다. 회의가 끝난 후 이들은 상사의 지시에 따라 2억 홍콩 달러, 즉 미화 2,500만 달러를 송금했습니다.
하지만 실제로는 상사가 아니라 딥페이크(Deepfake)라고 불리는 AI 비디오 표현에 불과했습니다. 그날 오후, 그 직원은 다국적 기업의 본사에 확인한 후 자신이 끔찍한 실수를 했다는 것을 깨달았습니다. 이 직원은 조직을 속여 미화 2,500만 달러를 탈취한 딥페이크 사기의 피해자였습니다.
딥페이크는 AI를 통해 만들어진 콘텐츠로, 영상, 이미지, 오디오, 텍스트 등 실제와 다르거나 조작된 정보를 담고 있습니다. 예를 들어, 조리 기구를 홍보하는 테일러 스위프트나 악명 높은 가짜 톰 크루즈 사례가 이에 해당합니다. 최근 미국을 강타한 허리케인으로 인해 디즈니월드가 물에 잠긴 가짜 사진, 홍수 속에 반려동물과 함께 있는 사람들의 가슴 아픈 AI 생성 사진 등 여러 딥페이크 이미지가 등장하기도 했습니다.
개인을 대상으로 하는 딥페이크(합성 미디어라고도 함)는 일반적으로 사람들을 조종하는 데 사용되지만, 기업을 표적으로 삼는 사이버 범죄자들은 금전적 이익을 노립니다. CISA의 조직에 대한 딥페이크 위협의 맥락화 정보 시트에 따르면 기업을 대상으로 하는 위협은 브랜드를 조종하기 위한 임원 사칭, 금전적 이득을 위한 사칭, 액세스 권한을 얻기 위한 사칭의 세 가지 범주 중 하나로 분류되는 경향이 있습니다.
하지만 최근 홍콩에서 발생한 사고는 직원 한 명의 실수가 아니었습니다. 딥페이크 사기는 기업에서 점점 더 흔해지고 있습니다. 최근 Medus 설문조사에 따르면 재무 전문가의 대다수(53%)가 딥페이크 사기의 표적이 된 것으로 나타났습니다. 더욱 우려스러운 사실은 43% 이상이 결국 공격의 피해자가 되었다고 인정했다는 사실입니다.
Medus 연구의 핵심 단어는 '인정'입니다. 그리고 이는 큰 의문을 제기합니다. 사람들이 딥페이크 공격의 피해자임을 신고하지 않는 이유는 창피하기 때문일까요? 답은 아마도 그럴 것입니다. 사실이 밝혀진 후에 다른 사람들에게는 이것이 가짜였음이 분명해 보이기 때문입니다. 또한 AI가 생성한 이미지에 속았다는 사실을 인정하기는 어렵습니다. 그러나 신고 부족한 것은 부끄러움을 가중시켜 사이버 범죄자들이 더욱 쉽게 범행을 저지르고도 빠져나가도록 합니다.
대부분의 사람들은 딥페이크를 알아볼 수 있다고 생각합니다. 하지만 그렇지 않습니다. 인간과 기계 센터(Center for Humans and Machines)와 CREED는 사람들이 딥페이크를 식별할 수 있다는 자신감과 실제 능력에는 큰 차이가 있다는 사실을 발견했습니다. 많은 사람들이 딥페이크를 식별하는 자신의 능력을 과대평가하기 때문에 누군가가 피해자가 되었을 때 수치심이 커지고, 이는 보고 저하로 이어질 가능성이 높습니다.
CFO의 딥페이크에 속아 미화 2,500만 달러에 달하는 사기를 당한 직원은 나중에 자신의 CFO가 보낸 것으로 추정되는 이메일을 처음 받았을 때 기밀 거래에 대한 언급이 있었기 때문에 이메일이 실제로 피싱 이메일이 아닌가 의심했다고 인정했습니다. 하지만 영상에 등장하는 다른 부서원들을 보고, 영상이 진짜라고 판단했습니다. 하지만 이 직원은 나중에 부서원들의 동영상 이미지도 딥페이크임을 알게 되었습니다.
피해자인 많은 사람들은 자신의 우려, 의문 및 의심을 간과합니다. 하지만 심지어 딥페이크에 대해 교육을 받은 사람들조차도 우려를 뒤로 미루고 이미지가 진짜라고 믿게 되는 이유는 무엇일까요? 이는 향후 막대한 비용과 피해를 유발하는 딥페이크 사기를 방지하기 위해 우리가 답해야 할 미화 100만 달러, 아니 2500만 달러 규모의 질문입니다.
Sage Journals는 누가 딥페이크에 빠질 가능성이 더 높은지에 대한 질문을 던졌으나, 연령이나 성별에 관한 어떤 패턴도 발견하지 못했습니다. 그러나 노령층은 이러한 사기에 더 취약할 수 있으며 이를 감지하는 데 어려움을 겪을 수 있습니다. 또한 연구자들은 인식이 좋은 출발점이지만, 사람들이 딥페이크에 속아 넘어가는 것을 방지하는 데는 효과가 제한적인 것 같다는 사실을 발견했습니다.
그러나 웨스턴 시드니 대학교 계산 신경과학자 틸 그루트스와거스(Tijl Grootswagers)는 딥페이크 식별의 어려움을 정확히 지적했습니다. 바로 우리 모두에게 새로운 기술이라는 점입니다. 우리는 뉴스 기사와 편견에 회의적인 태도를 가지라고 배웠지만, 눈에 보이는 이미지의 진위를 의심하는 것은 우리의 사고 과정에 반하는 행동입니다. 그루트스와거스는 Science Magazine에서 말했습니다 "우리 삶에서는 누가 진짜인지 가짜인지 생각할 필요가 없습니다. 이는 우리가 학습한 일이 아닙니다."
흥미롭게도 그루트스와거스는 우리의 두뇌가 개입 없이도 더 잘 탐지한다는 사실을 발견했습니다. 그는 사람들이 딥페이크 사진을 볼 때, 그 이미지가 실제 이미지나 영상과는 달리 뇌의 시각 피질에 다른 전기 신호를 일으킨다는 사실을 발견했습니다. 왜 그런지 묻자 그루트스와거스는 확신하지 못했습니다. 다른 뇌 영역의 간섭으로 신호가 의식에 도달하지 못했을 수도 있고, 또는 이는 새로운 과제이기 때문에 인간이 이미지가 가짜라는 신호를 인식하지 못한 것일 수도 있습니다.
즉, 우리 각자는 자신이 보는 모든 이미지나 비디오가 딥페이크일 수 있다고 생각하도록 두뇌를 학습시켜야 합니다. 콘텐츠에 따라 행동을 시작할 때마다 이 질문을 던짐으로써, 우리 스스로가 알아채기 전에 뇌가 가짜를 탐지하는 신호를 감지하기 시작할 수 있습니다. 그리고 가장 중요한 것은 특히 직장에서 딥페이크의 피해자가 된다면, 우리 각자가 모든 사례를 보고하는 것이 중요하다는 것입니다. 그래야만 전문가와 당국이 생성과 확산을 억제하기 시작할 수 있습니다.
