현실의 무기화: 딥페이크 기술의 진화

수십 년 동안 피싱 공격은 인간의 감정을 조작하여 계정 자격 증명과 돈을 사기 위해 사용해 왔으며 여전히 그렇습니다. 하지만 1990년대 첫 피싱 사례 이후 기술이 비약적으로 발전하면서 피싱은 더 이상 오타나 문법적 실수가 있는 명백한 사기 메시지를 찾아내는 것만으로는 해결되지 않습니다. 이제 친구나 상사로부터 걸려온 전화가 그들과 똑같이 들리더라도 진짜 전화인지 의심해봐야 합니다. 인공 지능의 등장으로 악의적인 공격자들은 점점 더 은밀하고 교묘해지고 있습니다. 따라서 모든 사람은 진짜가 무엇인지 다시 생각하고, 가짜 신호를 찾는 데 익숙해지고, 온라인과 오프라인에서 자신의 신원을 더 잘 보호하는 방법을 배워야 합니다.

소셜 엔지니어링은 공격자와 사기범이 사람들을 속여 신원과 계정을 손상시킬 수 있는 정보를 유출하도록 하는 수많은 방법을 총칭하는 용어입니다. 이 위협은 또한 데이터 유출로 이어지는 주요 공격 벡터 중 하나입니다. 이는 직원 교육과 고급 스팸 필터를 통해 어느 정도 완화되었지만, 최근 유행하는 딥페이크 위협에는 적용되지 않는 것으로 보입니다. 2024년에는 기업의 80% 이상이 딥페이크를 포함한 AI 기반 공격에 대응할 수 있는 프로토콜이 없다고 보고했습니다.

또한 Pindrop의 2025년 음성 인텔리전스 보고서에 따르면 딥페이크 사기가 전년 대비 1300% 급증한 것으로 나타났습니다. 딥페이크 공격은 더 이상 보거나 듣는 것을 신뢰할 수 없는 새로운 영역에 도전하는 것입니다.

딥페이크의 기반이 되는 기술을 생성적 적대적 네트워크(GAN)라고 합니다. 이 기술은 2014년에 개발되어 연구원 Ian Goodfellow와 그의 동료들이 연구 논문을 통해 발표했습니다. GAN은 학습 데이터 세트에서 패턴을 학습하여 새로운 데이터를 생성하는 머신러닝 모델의 일종입니다. 하지만 이것이 실제로 무엇을 의미할까요? GAN은 서로 지속적으로 경쟁하여 사실적이고 가짜 데이터를 생성하는 두 개의 신경망으로 구성됩니다. 한 네트워크는 생성기이고 다른 네트워크는 판별기입니다.

생성기는 합성 콘텐츠를 생성하고 판별기는 콘텐츠의 진위 여부를 판단합니다. 이렇게 왔다 갔다 하면 결국 가짜 콘텐츠가 진짜처럼 보이게 됩니다. 강철 블록에 칼을 대고 연마하는 것과 같다고 생각하세요. 검(생성기)을 강철 블록(판별기)에 대고 돌릴 때마다 검이 더 날카로워집니다.

몇 년 후인 2017년, '딥페이크'라는 용어는 '딥페이크'라는 이름으로 활동하는 Reddit 사용자에 의해 만들어졌습니다. 이 사람은 GAN 개념을 악의적으로 악용했습니다. 그는 성인 콘텐츠 전용 계정을 사용하여 관련 없는 사람들의 이미지를 사용하여 가짜 콘텐츠를 제작하고 온라인에 배포하는 최초의 딥페이크 동영상을 공개했습니다.

초기 딥페이크는 대개 품질이 낮고 발견하기가 쉬웠습니다. 오늘날에는 더 이상 그렇지 않습니다. 사람들은 가짜 식별이 매우 어려운 음성 및 이미지 딥페이크를 게시하여 가상 세계의 정체성과 신뢰라는 개념 자체에 도전하고 있습니다.

딥페이크는 2018년 DeepFaceLab과 같은 접근 가능한 오픈 소스 딥페이크 도구가 출시되면서 주류에 들어갔습니다. 그 이후로 사실적인 딥페이크를 만드는 데 대한 기술적 장벽은 꾸준히 낮아졌습니다. 2023년에는 딥페이크 도구 시장이 급증하여 이러한 도구의 개발이 44% 증가했습니다. 안타깝게도 합의되지 않은 여성의 노골적인 콘텐츠 제작은 딥페이크 도구의 대중화에 동기를 부여하는 요인으로 작용했습니다. Security Hero는 2023년에 온라인 딥페이크 동영상의 약 98%가 본질적으로 노골적이며, 해당 카테고리의 표적 중 1%만이 남성이라고 보고할 정도로 문제가 만연해 있습니다.

최근 들어 딥페이크는 정치 조작과 소비자 사기에 이용되기도 했습니다. 딥페이크의 표적은 대부분 유명인사인데, 이는 주로 그들이 인터넷에 풍부한 미디어 샘플을 가지고 있기 때문입니다.

2024년 초, 뉴햄프셔 유권자들은 민주당 예비선거에서 투표를 하지 못하도록 하기 위해 바이든 대통령을 사칭한 로보콜을 받았습니다. 이 악의적인 공격자는 발신자 번호를 민주당 의장인 것처럼 위장하기도 했습니다. 이 사건은 딥페이크 오디오를 사용한 보이스 피싱, 일명 '비싱'의 명백한 사례입니다 그 이후로 FCC는 유권자 억압을 위해 로보콜에 AI 생성형 음성을 사용하는 것을 금지했습니다.

또한 엘론 머스크(Elon Musk), 뉴질랜드 총리, 크리스토퍼 럭슨(Christopher Luxon), 저스틴 트뤼도(Justin Trudeau) 캐나다 총리 등 저명한 유명 인사가 등장하는 딥페이크 동영상도 여러 건 있었습니다. 이러한 딥페이크 동영상은 다양한 암호화폐 사기를 홍보하여 잠재적인 투자자들을 속였습니다.

딥페이크 기술은 합법적으로 사용되는 경우도 있는데, MIT 고급 가상화 센터의 연구원들은 실패한 달 착륙에 대한 연설을 하는 리처드 닉슨 대통령의 모습을 딥페이크 기법으로 구현했습니다. 이 프로젝트는 딥페이크 시대에 미디어 리터러시의 중요성을 경고하기 위해 학생들이 만들었습니다. 디즈니와 다른 주요 할리우드 스튜디오들도 배우의 노화를 방지하고 영화에 고급 시각 효과를 넣기 위해 이 기술을 사용하는 데 투자하고 있습니다.

다음은 딥페이크 기술이 사기, 속임수, 사칭에 사용된 주목할 만한 네 가지 사례입니다.

2024년 초, 다국적 엔지니어링 회사인 Arup은 딥페이크 사기로 인해 2,500만 달러의 손실을 입었다고 확인했습니다.

홍콩의 한 직원은 Arub의 영국 지사로부터 ‘비밀’ 거래를 요청하는 피싱 이메일을 받았습니다. 당연히 이 직원은 처음에는 의심했습니다. 하지만 최고재무책임자 및 다른 여러 직원들과 화상 통화에 참여하면서 의심은 사라졌습니다. 그는 이들의 얼굴과 목소리를 알아보고 2억 홍콩달러(2,560만 달러)를 송금했습니다. 이 돈은 사기가 발각되기 전까지 5개의 다른 은행으로 15차례에 걸쳐 송금되었습니다.

Arup의 최고 디지털 정보 책임자인 롭 그레이그(Rob Greig)는 당시 세계경제포럼에서 이 사건에 대해 논의했습니다. 그레이그는 이 사건을 사이버 공격이라기보다는 "기술로 강화된 소셜 엔지니어링"이라고 설명했습니다. 시스템 손상이나 데이터에 대한 무단 액세스는 없었습니다. 사람들은 속아서 진짜 거래라고 생각한 거래를 수행했습니다. 그레이그는 심지어 자신의 딥페이크 동영상을 만들려고 시도했는데, 1시간도 채 걸리지 않았습니다. 그는 또한 딥페이크가 사람들이 생각하는 것보다 더 자주 발생한다고 생각합니다.

이 사례는 딥페이크 피싱이 기업에 얼마나 치명적인 금전적 피해를 줄 수 있는지를 잘 보여줍니다. 개인에게도 비슷한 사례가 발생했으며, 노인들은 사랑하는 사람을 사칭하여 조난 전화를 받았습니다.

딥페이크의 위험은 유명인이나 기업 임원에게만 국한되지 않습니다. 2024년 볼티모어의 한 교장이 인종차별적이고 반유대주의적인 발언을 하는 것처럼 보이는 AI 생성형 오디오 클립으로 인해 인생이 송두리째 바뀌었던 사건이 나타났습니다.

파이크스빌 고등학교의 교장인 Eric Eiswert의 조작된 오디오 클립이 유해하고 경멸적인 발언을 하는 것으로 보이며 온라인에서 입소문이 났습니다. 이 클립은 200만 회가 훨씬 넘는 조회수를 기록했습니다. 온라인과 현실 모두에서 엄청난 반발이 있었습니다. 파이크스빌에는 흑인과 유대인 인구가 많기 때문에 지역 사회는 특히 분노했습니다.

반발이 거세지자 아이즈워트는 휴직에 들어갔고, 악의적인 위협과 괴롭힘을 당하는 가운데 경찰이 그의 집을 지키기 위해 배치되었습니다. 학교의 보안도 강화되었습니다.

클립이 가짜라는 Eiswert의 초기 변호는 평판이 좋지 않았고 Eiswert가 책임을 회피하는 것으로 일축되었습니다. 이 클립은 2024년 1월에 처음 게시되었습니다. 현지 경찰이 이 녹음이 위조된 것임을 확인하는 데는 4월이 지나야 했습니다. 경찰은 학교 운동 감독인 Dazhon Darien을 가짜 클립과 관련된 혐의로 체포했습니다. Eiswert는 Darien을 학교 공금 도난과 업무 수행 문제로 조사하고 있었습니다. 2025년 4월, Dazhon Darien은 AI 복제 도구를 구입한 혐의로 유죄를 인정했습니다.

이 사건은 Eiswert의 평판에 부정적인 영향을 미쳤으며, Eiswert는 다른 학교로 이직하고 일하게 되었습니다.

최초의 주요 딥페이크 공격 중 하나는 2019년에 딥페이크 오디오를 사용하여 영국 회사로부터 243,000달러를 훔친 사건입니다.

익명의 영국 에너지 회사 CEO는 독일 모기업의 CEO로부터 전화를 받았습니다. 영국 CEO는 그 전화에 독일 CEO의 '멜로디'까지 담겨 있었다고 말했습니다. 사기범들은 총 세 번 전화를 걸었습니다. 첫 번째 통화에서 사기범은 영국 CEO에게 헝가리 공급업체의 은행 계좌로 243,000달러를 송금해 달라고 요청했습니다. CEO는 이에 응했습니다. 두 번째 통화에서 사기범은 송금한 금액이 상환되었다고 주장했습니다. 세 번째이자 마지막 통화에서 발신자는 후속 결제를 요청했습니다. 영국 CEO는 송금이 실제로 상환되지 않았다는 사실을 알게 된 후 후속 송금을 거부했습니다. 첫 번째 금액은 헝가리 은행 계좌로 이체된 후 멕시코와 다른 지역으로 이체되어 귀속을 어렵게 만들었습니다.

이 초기 딥페이크 사기 사건은 이런 계획이 나중에 얼마나 야심차고 정교해질지 보여주는 사례입니다.

2025년 6월에 발생한 최근 공격 중 하나로, 북한에 본사를 둔 위협 행위자 그룹인 BlueNoroff는 딥페이크 기술을 활용해 암호화폐 회사를 표적으로 삼았습니다.

한 암호화폐 회사 직원이 Google Meet에 대한 Calendly 링크를 받았습니다. 2주 후, 해당 직원은 위협 행위자가 제어하는 Zoom 통화에 참여했습니다. 통화에는 고위 경영진의 딥페이크 버전이 가득했습니다. 직원이 오디오 문제를 경험하자 공격자는 악성 Zoom 확장 프로그램을 보냈습니다. Zoom 확장 프로그램은 실제로 시스템에서 발견된 암호화폐 지갑을 탈취하는 멀웨어를 배포하는 스크립트였습니다.

이 공격은 위협 행위자들이 기존의 소셜 엔지니어링과 실시간 딥페이크 사칭을 결합하여 최종 사용자의 확인을 훨씬 더 어렵게 만들고 있다는 점을 잘 보여줍니다.

딥페이크는 더 이상 잠재적인 위협이 아니라 매우 현실적이고 현존하는 위협과 그 결과입니다. 오늘날 딥페이크는 많은 조직, 특히 금융 부문에서 의존하고 있는 온라인 신원 확인 프로세스에 대한 신뢰를 약화시키는 지경에 처해 있습니다. 그 어느 때보다 많은 사람들이 모든 디바이스에서 생체 인식을 사용하여 자신을 인증하는 상황에서 딥페이크의 악의적인 사용 증가는 향후 5년 이내에, 또는 그보다 더 빨리 인증 보안을 재고해야 할 필요성을 야기할 수 있습니다.

최근의 공격에서 볼 수 있듯이, 사실적인 딥페이크 제작의 진입 장벽이 크게 낮아졌습니다. 복제된 목소리부터 전체 동영상 사칭까지, 딥페이크는 탐지 및 방어하기 어려운 방식으로 사기꾼에게 힘을 실어줍니다.

또 다른 심각한 문제는, 학교 폭력이 가해 학생들이 딥페이크를 이용해 또래를 조롱하거나 괴롭히고, 교사를 공격하거나, 다른 사람을 위협하고 위압하려는 상황을 연출하는 데 사용하고 있다는 점입니다. 이러한 사이버 괴롭힘의 경향은 시간이 지날수록 더욱 심해지고 있으며, 부모는 자녀를 교육하고 잠재적인 위협에 대해 각별히 경계해야 합니다.

위협을 이해하는 것은 위협을 방어하기 위한 첫 번째 단계입니다. 더 많은 최종 사용자 보안 교육과 새로운 딥페이크 탐지 도구를 활용함으로써 조직과 개인은 이 새로운 위협에 대응할 수 있습니다.

더 자세히 알아보고 싶으신가요? X-Force 전문가에게 1:1 브리핑을 요청하여 딥페이크, 딥페이크 위협, 그리고 팀이 딥페이크 위협을 식별하고 피해가 발생하기 전에 위협 행위자를 차단할 수 있도록 교육하는 방법에 대해 상담하세요.

사이버 레인지 팀은 전 세계 지사, 사무실 또는 가상 공간에서 실전처럼 학습할 수 있도록 여러분을 초대합니다. 지금 바로 문의하세요.