제임스 R. 맥퀴건, CISSP, SACP, 작성

 

작성자: James R. McQuiggan

보도일자: 2025년 8월 6일

출처: Biometricupdate.com

 

주말에 한 뉴스 프로그램을 보다가 ‘AI Slop’이라는 개념에 대한 토론을 접했다. 아마도 이 용어는 내년에 웹스터 사전에 등재될지도 모른다. 이 개념은 생성형 AI가 만들어낸 이미지, 영상, 텍스트가 사회와 소셜미디어에서 사용되며 진실과 허구의 경계를 빠르게 흐리고 있는 현상을 말한다. 생성형 AI의 월간 단위 성능 향상과 보급 확산으로 인해, 이미지·음성·영상 등 합성 미디어는 우리가 실제와 가짜를 구별하는 능력을 시험할 뿐만 아니라, ‘거짓말쟁이의 이득(The Liar’s Dividend)’으로 알려진 위험한 순환 구조를 가속화하고 있다. 이 개념이 고도화된 AI 기반 미디어와 결합할 경우, 미디어·사회·사이버 보안에 대한 신뢰 자체를 무너뜨릴 수 있는 방향으로 나아가고 있다.

 

‘거짓말쟁이의 이득’이란 무엇인가?

‘거짓말쟁이의 이득(The Liar’s Dividend)’이란 허위 정보가 넘쳐나는 환경에서 거짓을 퍼뜨리는 사람들이 얻는 이점을 의미한다. 거짓은 진실보다 빠르게 퍼지며, 진실은 늘 뒤쫓는 입장에 놓인다. 합성 미디어가 증가할수록, 사기범들이 진짜 증거가 제시되더라도 그것이 진짜인지 의심하게 만드는 일이 더욱 쉬워진다. 이 표현은 법학자 바비 체스니(Bobby Chesney)와 다니엘 시트론(Danielle Citron)이 처음 제시했으며, 이들은 사람들이 이미지나 영상과 같은 디지털 미디어에 대한 신뢰를 잃을수록, 거짓말쟁이들이 불편한 진실조차 “가짜 뉴스나”나 AI가 만든 딥페이크로 몰아붙이며 책임과 결과를 회피할 수 있게 된다고 지적했다.

 

작동 방식

딥페이크와 기타 합성 미디어의 품질이 향상되고 널리 퍼지면서, 사람들은 이제 온라인에서 보는 것에 대해 점점 회의적인 시선을 갖기 시작하고 있다. 현재 시점에서는 해당 기술이 완전한 수준에 이르지는 않았지만, 시간이 지날수록 꾸준히 발전하고 있다.

 

그럴듯한 부인 가능성(plausible deniability) 덕분에, 공인이나 범죄자들은 실제 영상이더라도 “가짜다”라고 주장하며 여론을 왜곡시킬 수 있게 되었다. 실제로 온라인에는 가짜 손이나 손가락이 판매되고 있으며, 이를 착용한 이미지나 영상을 본 사람들은 손가락 개수가 이상하다는 이유만으로 자동적으로 “가짜”라고 단정짓고, 추가 분석 없이 이미지나 영상의 진위를 부정해버리는 일이 벌어진다.

 

결국 진실 자체가 주관적인 것으로 전락하면, 악의적 행위자들은 거짓을 퍼뜨리고, 대중을 조작하며, 책임을 회피할 자유가 더 커진다. 실제 증거조차 정치인이나 인플루언서에 의해 손쉽게 부정되거나 무시될 수 있게 되면, 정보에 기반한 의사결정과 사회적 규범의 기반이 위협받게 되며, 그로 인한 위험은 점점 커지고 있다.

 

딥페이크, 합성 미디어, 그리고 허위정보

딥페이크는 인공지능을 이용해 실제 인물이나 장소를 정교하게 모방한 초현실적인 영상, 음성, 이미지를 생성한다. 이러한 합성 미디어가 사기범이나 사이버 범죄자의 손에 들어갈 경우 그 파급력은 사이버 보안 분야에서 점점 더 큰 우려를 낳고 있다. 불과 몇 분 만에, 소셜미디어에 올라온 사진 한 장과 30초 분량의 음성만으로 다음과 같은 행위가 매우 쉽게 이루어질 수 있다:

• 경영진을 사칭하여 기업 사기를 저지르기
• 가족 구성원을 흉내 내어 노인 대상 사기(Grandparent Scam) 수행
• 허위 뉴스 유포로 선거를 조작하거나 사회 혼란 조성
• 진실한 정보를 “딥페이크다”라고 주장하며 신뢰 훼손
• 개인이나 기업을 대상으로 협박, 사기, 조작 행위

 

이러한 일들은 이미 오늘날 사회 곳곳에서 실제로 벌어지고 있으며, 딥페이크 영상은 전쟁, 자연재해, 대형 참사, 국가적 사건과 같은 위기 상황을 조작하는 데 사용된 사례도 등장하고 있다.

 

딥페이크 사건 사례

딥페이크는 오픈소스 소프트웨어를 활용하면 무료로, 혹은 단 20달러 정도의 비용만으로도 몇 분 만에 제작이 가능할 정도로 손쉽다. 그러나 이러한 기술이 얼마나 심각한 영향을 미칠 수 있는지를 보여주는 사건들이 점차 드러나고 있다.

 

최근 몇 년간, 인공지능 기술을 악용한 고도화된 금융 사기 및 기만 행위가 급격히 증가하고 있다. 특히 충격적인 사례 중 하나는 영국의 엔지니어링 회사 Arup이 딥페이크 영상 사기에 당해 약 2,500만 달러의 피해를 입은 사건이다. 이 사건에서 범죄자들은 회사 CFO를 딥페이크 영상으로 위장한 뒤 화상회의에 참석했고, 그 결과 무단으로 15건의 자금 이체가 승인되었다.

 

올해 초에는 미국 국무장관 마르코 루비오와 백악관 비서실장 수지 와일스가 고도로 정교한 딥페이크 공격의 대상이 되었다. 공격자들은 AI로 생성된 음성 딥페이크와 스푸핑된 메시징 계정을 활용해 이들을 사칭했고, 그 결과 미국 주지사들과 외교부 장관을 포함한 고위 정부 관계자들과 직접 접촉하는 데 성공했다.

 

이러한 추세는 국제적으로 확산되었으며, 합성 미디어가 영국 총리 키어 스타머를 비롯한 미국, 터키, 아르헨티나, 대만 등 여러 국가의 주요 정치인들에게 허위 발언을 덧씌우는데 사용되었다.

 

이러한 사건들은 다행히도 큰 피해가 발생하기 전에 발견되었지만, 공식 커뮤니케이션 검증 체계의 치명적인 취약성을 드러냈다. 동시에, 합성 미디어가 국가 안보에 직접적인 위협이 될 수 있음을 현실화시키며, 딥페이크 탐지 기술 강화와 최고 수준의 정부기관에서 더 엄격한 인증 프로토콜 도입에 대한 요구가 빠르게 커지고 있다.

 

주요 트렌드와 영향

최근 몇 년간 딥페이크를 활용한 사기 시도는 3,000% 이상 급증했으며, 그 수법은 갈수록 정교해지고 있다. 텍스트-영상 변환, 이미지-영상 변환, 립싱크 등 다양한 멀티모달 방식이 동원되고 있다. 정치 분야에서는 허위 발언 조작, 선거 개입, 글로벌 리더 및 후보자에 대한 인신공격에 딥페이크가 활용되었다. 연예인부터 일반 시민에 이르기까지, 외모나 음성이 사기, 성적 착취, 명예 훼손 등의 목적으로 악용되는 사례도 끊이지 않고 있다.

 

2024년 기준, 기업들은 딥페이크 관련 사기로 평균 약 50만 달러의 손실을 보고 있으며, 대기업은 최대 68만 달러, 2027년까지 누적 피해액은 약 400억 달러 이상에 이를 것으로 예상된다. 조직들은 여전히 딥페이크 위협에 대응하고 있으며, 2022년에는 사이버 보안 및 사고 대응 전문가의 66%가 딥페이크 관련 보안 사고를 경험했다고 응답했다. 이는 전년 대비 13% 증가한 수치다. 더욱 심각한 문제는, 2024년 기준 전체 리더의 50%가 직원들에게 딥페이크 탐지나 대응에 대한 교육을 전혀 제공하지 않았다고 답했다는 점이다. 게다가 4명 중 1명의 경영진이 딥페이크에 대해 전혀 모르고 있고, 32%는 직원들이 이를 식별할 수 있는 역량이 없다고 생각하고 있다. AI Slop이 증가함에 따라 합성 미디어를 식별하는 일은 점점 더 어려워지고 있다.

 

사이버 보안의 도전 과제

사회가 딥페이크 문제로 씨름하고 있는 사이, 사이버 보안 업계는 딥페이크 제작자들과의 전쟁을 계속 이어가고 있다. AI 기술의 발전은 방어 측에도 새로운 탐지 도구를 제공하고 있지만, 합성 미디어 생성 기술 역시 같은 속도로 발전 중이다. 오디오 서명 검증이나 미디어 워터마킹 같은 기술적 안전장치는 일정 부분 속도를 늦출 수는 있으나, 기술 전반이 위협 속도를 따라잡지는 못하고 있는 설정이다.

 

이러한 다양한 위험을 고려할 때, 범죄자나 부패한 공직자는 합법적인 디지털 증거조차 “조작”이라 주장하며 부정할 수 있게 되어, 진짜 증거의 신뢰성을 약화시킨다. 기업 관련 허위 발표, 임원 딥페이크 영상·문자·음성 통화 등이 금융 시장을 불안정하게 만들고 주가에 영향을 미치는 일도 충분히 발생하고 있다. 딥페이크는 또한 구직 사기에도 악용되어, 사칭자가 영상 인터뷰를 통과해 민감한 직무에 침투하고, 이로 인해 기업 내부 기밀 유출 및 간첩 활동 같은 내부 위협이 발생할 수 있다. 기술도 사람도 우회할 필요 없이, 이력서와 면접 스킬을 완벽히 준비해 백그라운드 체크까지 통과해 입사하면 되는 셈이다. 이러한 사례들은 사이버 보안 위협이 현실화되고 있음에도 불구하고, 일부 조직은 뒤늦게 대응하거나, 여전히 생성형 AI에 대한 정책이 마련되기만을 지켜보고 있는 상황을 더욱 우려스럽게 만든다.

 

우리는 무엇을 할 수 있을까?

‘거짓말쟁이의 이득’과 딥페이크가 결합된 위협에 맞서기 위해서는 기술적인 대응도 중요하지만, 그보다 더 중요한 것은 교육과 인식 제고를 통해 인간적 리스크를 줄이는 것이다. 과거에는 이메일로 들어오는 사기를 많은 사람들이 알아채지 못했지만, 이제는 거의 모든 이들이 그런 공격을 인지하고 대응할 수 있게 되었다. 딥페이크와 합성 미디어에 대해서도 지금 우리는 똑같은 전환점에 서 있다. 조직은 행동 기반 보안 방어 체계가 작동 중이고, 즉시 대응 가능한 상태인지 반드시 확인해야 한다.

 

개인과 조직 모두가 모범 사례와 실용적인 대응 팁을 공유하고 적용하는 것이 앞으로 6개월에서 1년 사이 반드시 이루어져야 할 과제다.

 

예상치 못한 연락이나 긴급 요청에 대해서는 제로 트러스트(Zero Trust) 사고방식, 즉 근본적인 의심을 바탕으로 접근하는 태도가 필요하다. 요즘은 초인종에 카메라가 달려 있어, 피자나 택배, 친구를 기다리는 것이 아니라면 누가 찾아왔는지 확인하고 대응할 수 있다. 이런 태도는 단순한 개인적 판단을 넘어, 조직 내 위계 구조, 특히 금융 거래, 비밀번호 재 설정, 개인정보 요청과 관련된 모든 의사결정 과정에서 훨씬 더 강화되어야 한다.

 

“신뢰하되 검증하라(Trust and Verify)”는 행동 원칙은, 영상·음성 클립·메시지에 대해 먼저 신뢰할 수 있는 이차 채널을 통해 확인하기 전까지는 절대 행동에 옮기지 않는 것을 의미한다. 필요하다면 당사자에게 직접 전화하거나 IT/보안 부서에 문의하라. 공공 뉴스의 경우에는 신뢰할 수 있는 출처를 확인하고 사실 확인이 가능한 정보인지 반드시 검토해야 한다. 의심이 간다면, 해당 내용을 게시하지 않는 것이 가장 좋다.

 

딥페이크를 식별하는 방법에 대해 본인과 사용자에게 교육하라. 미세한 불일치를 찾아내는 것이 중요하다. 예를 들어, 부자연스러운 안면 움직임, 영상과 음성의 불일치, 어색한 억양, 이상한 몸짓 언어 등이 그것이다. 물론 이러한 요소들은 영상 통화에서도 흔히 나타날 수 있지만, 출처와 맥락을 함께 고려해야 한다. 어떤 행동을 취하기 전에는 잠시 멈추고, 그 메시지의 함의를 신중히 생각해보는 태도가 필요하다. 익숙하지 않은가? 이는 우리가 이메일 보안에서 실천하는 원칙과 동일하다. 텍스트, 이미지, 음성, 영상 형태를 막론하고, 결국 딥페이크 공격도 소셜 엔지니어링의 일종이다.

 

사이버 보안 전문가들은 오래전부터 사진이나 영상 등 개인 정보를 온라인에 공유하지 말라고 권고해 왔다. 이제는 개인 정보와 콘텐츠를 가족이나 친구 등 허가된 사람만 볼 수 있도록 프라이버시 설정을 정확히 구성해야 한다. 자신의 가족, 본인, 또는 조직에 대한 정보가 딥페이크 생성에 악용될 수 있는 공공 콘텐츠로 남아 있지 않도록 반드시 점검하고 최소화해야 한다.

 

사람들과 조직은 딥페이크와 AI 트렌드에 대해 지속적으로 정보를 습득하고, 미디어 리터러시(미디어 해독 능력)를 계속 강화해 나가야 한다. 특히 감정적인 반응을 유발하는 이미지, 영상, 오디오 콘텐츠에 대한 비판적 사고와 의심의 태도를 장려함으로써 인간을 겨냥한 위험을 줄일 수 있다.

 

물론 “이상한 것이 보이면 신고하라(See Something, Say Something)”는 원칙은 더욱 중요해지고 있으며, 사용자들이 익명으로라도 신고할 수 있는 도구와 수단을 제공하는 것이 필요하다. 이를 통해 사용자가 의심스러운 영상이나 메시지를 발견했을 때, 플랫폼 운영자나 조직의 IT 팀에 신고할 수 있는 통로를 갖게 되는 것이다. 여기서 반드시 기억해야 할 교훈은 다음과 같다: 절대 그것을 퍼뜨리지 말 것, 공유하지 말 것, 그리고 그 게시자나 발신자에게 응답하지 말 것.

 

이러한 행동들은 인간 리스크를 줄이기 위한 몇 가지 기본적인 대응 방안이다. 그러나 딥페이크와 같은 합성 미디어 또는 소셜 엔지니어링 공격의 본질은 인간이 본능적으로 반응하도록 유도하는 것, 즉 충격적인 내용을 통해 즉각적인 행동을 유발하고, 돈을 송금하게 하거나, 지인에게 공유하게 만드는 데 있다. 바로 그렇기 때문에, 정보 소비에서의 신중함과 대응에서의 절제가 그 어느 때보다 중요하다.

 

위협을 인식하고 강력한 방어 체계를 구축하라

딥페이크와 합성 미디어가 그 빈도와 정교함 면에서 폭발적으로 증가하고 있는 지금, ‘거짓말쟁이의 이득(The Liar’s Dividend)’은 디지털 정보에 대한 가장 기본적인 신뢰마저 무너뜨리고 있다. 이제는 개인, 기업, 정부 모두가 이러한 위협을 인식하고, 기술적·행동적 측면 모두에서 강력한 방어 체계를 구축해야 할 책임을 지고 있다. 디지털 속임수의 시대에 진실을 지켜내기 위해서는, 끊임없는 노력, 교육, 그리고 비판적 사고만이 사회를 지킬 수 있는 유일한 방어 수단이다.

 

저자 소개

제임스 R. 맥퀴건은 세계 최대의 보안 인식 교육 및 피싱 시뮬레이션 플랫폼인 KnowBe4의 보안 인식 홍보 담당(Security Awareness Advocate)이다.