04. 딥페이크 기술의 악용, 사회 공학적 공격의 새로운 위협
최근 일반인 여성을 대상으로 한 불법 딥페이크(Deepfake) 합성물이 텔레그램(Telegram) 등 메신저를 통해 무차별적으로 유포되면서, 미성년자를 포함한 수많은 피해자가 발생하고 있다. 이러한 불법 영상의 확산은 큰 사회적 이슈로 떠오르고 있다. 딥페이크는 딥러닝(Deep Learning)과 가짜(Fake)의 합성어로, 실제 사람이나 상황을 조작해 진짜처럼 보이도록 만드는 기술로, 이 기술은 2014년 미국의 연구자 이안 굿펠로우가 발표한 논문 “Generative Adversarial Networks(생성적 적대 신경망, 이하 GAN)”에서 처음 제안되었다.
GAN은 딥페이크 생성의 핵심 기술로, 두 개의 AI 시스템이 경쟁하며 학습하는 구조를 갖추고 있다. [보안 위협 그림 4-1]과 같이 첫 번째 시스템인 생성기(Generator Network)는 진짜처럼 보이는 가짜 콘텐츠를 만들어내고, 두 번째 시스템인 판별기(Discriminator Network)는 그 콘텐츠가 진짜인지 가짜인지 판단하려 한다. 이 두 시스템이 상호작용하고 경쟁을 반복하면서, 생성기는 점점 더 사실적인 가짜 콘텐츠를 만들어내고, 판별기는 이를 구별하는 능력을 더욱 정교하게 발전시킨다. 이 과정이 수천, 수만 번 반복되면서, 생성기는 사람의 눈과 귀를 속일 수 있을 정도로 진짜와 같은 가짜 영상이나 오디오를 만들어낼 수 있게 된다.
[보안위협 그림 4-1] GAN (Generative Adversarial Network) 기본 구조
딥페이크 기술은 2017년경 부터 급격한 발전을 이루며 다양한 산업 분야에서 활발히 활용되고 있다. 마케팅, 광고, 교육, 영화, 엔터테인먼트 등 여러 분야에서 딥페이크는 새로운 형태의 콘텐츠 제작과 전달 방식을 가능하게 하고 있다. 이 기술은 얼굴 합성, 음성 변조, 동영상 편집 등에 주로 사용되며, 그 결과로 몰입감 있고 독창적인 콘텐츠 제작이 가능해 졌다.
과거에는 정교한 가짜 영상을 제작하기 위해 고가의 전문 소프트웨어와 장시간의 편집이 필요했으나, 이제는 컴퓨터 성능의 발전과 딥러닝 알고리즘의 향상 덕분에 전문가가 아니더라도 손쉽게 고품질의 가짜 콘텐츠를 제작할 수 있게 되었다. 특히, 딥페이크 제작을 위한 도구들은 무료 또는 저비용의 플러그 앤 플레이(Plug & Play) 방식으로 제공되며, 기본적인 딥러닝 알고리즘이 포함된 애플리케이션과 소프트웨어가 다수 출시되었다. 이러한 도구의 대중화로 인해 개인 사용자부터 다양한 목적을 가진 공격자들에 이르기까지 접근성이 크게 증가하였고, 이는 잠재적 위협 요소로 부각되고 있다.
사회 공학적 공격(Social Engineering Attack)은 기술적 취약점을 공략하기보다는 사람의 심리적, 신뢰적 허점을 악용하는 기법으로, 이를 통해 피해자가 스스로 정보를 제공하거나 특정 행동을 하게 만든다. 과거의 사회 공학적 공격은 이메일 피싱(Phishing), 전화 사기, 문자 메시지 사기 등의 방법을 통해 피해자를 속이는 방식이 주를 이루었지만, 딥페이크 기술의 발전과 대중화는 전통적인 사회 공학적 공격을 새로운 차원으로 변화시키고 있다.
딥페이크 기술을 이용한 사회 공학적 공격은 매우 정교하고 계획된 방식으로 진행되며, 사람의 심리적 취약점과 신뢰 관계를 악용하여 피해자가 자연스럽게 조작된 지시에 따르게 만든다. 특히, 피해자가 일상적으로 신뢰하는 인물의 얼굴과 목소리를 모방하여, 마치 실제 인물이 직접 요청하는 것처럼 연출함으로써 피해자가 이를 의심할 겨를 없이 빠르게 행동에 나서도록 유도한다. 공격자는 이러한 방식으로 피해자가 속기 쉬운 상황을 교묘히 만들어, 일반적인 업무 지시처럼 보이게 하는 심리적 압박을 가하여 신뢰를 더욱 강화한다.
이러한 공격 방식은 개인에 그치지 않고 조직 전체에 큰 위협이 되며, 고위 임원이나 핵심 부서의 인물을 가장한 딥페이크 공격은 단순한 금전적 손실을 넘어, 회사의 기밀 정보 유출, 경쟁 전략 약화, 계약 관계 손상 등 다양한 방식으로 조직을 위험에 빠뜨릴 수 있다. 공격자는 주로 회의 중이거나 긴급 상황을 빙자해 자금 이체나 기밀 문서 제공을 요청하는데, 피해자는 이를 일상적인 업무의 연장으로 받아들이기 때문에 별다른 의심 없이 지시를 수행하게 될 가능성이 매우 높다. 이런 식으로 접근할 경우 피해자는 시급한 요청에 응하기 위해 세심한 검토를 거치지 않고 행동할 가능성이 커, 공격자의 목적을 쉽게 이루게 된다.
대표적인 사례로, 2019년 독일 에너지 회사의 CEO를 사칭한 음성 딥페이크 사기 사건이 있다. 이 사건에서 범죄자는 CEO의 음성 패턴, 억양, 말투까지 완벽하게 모방하여, 영국 자회사의 재무 담당자에게 “긴급 송금”을 요청했다. 재무 담당자는 이 목소리가 CEO의 실제 음성이라고 확신하고, 약 24만 달러를 송금했다. 이 과정에서 범죄자는 “긴급”이라는 시급한 상황을 강조해 피해자가 판단할 시간을 최소화하며 심리적 압박을 가했고, 그 결과 피해자는 별다른 의심 없이 지시에 따랐다.
이처럼 딥페이크 공격자는 단순히 음성을 모방하는 데 그치지 않고, 시간적 여유가 없는 긴급 상황을 강조하거나, 피해자가 의심하지 않을 만한 일상적인 업무 지시로 위장하는 등 심리적 조작을 결합하여 공격의 성공 가능성을 높인다. 또한, 공격자는 특정 상황을 계획적으로 조성하여 피해자가 사전에 신뢰를 가지도록 하거나 의심하지 않도록 만드는 일종의 심리적 프레임을 형성하기도 한다. 예를 들어, 중요한 결재권자를 대상으로 한 반복적인 커뮤니케이션을 조작하여, 해당 인물의 특성, 말투, 업무 방식 등을 피해자가 미리 인식하도록 만들어 놓고, 이러한 신뢰감을 바탕으로 공격의 설득력을 높인다.
딥페이크 기술의 발전으로 인해 이러한 심리적 조작이 더욱 정교해지고 있으며, 공격자는 기술적 모방에 심리적 조작을 결합해 피해자의 신뢰를 무너뜨리고 금전적·정보적 손실을 초래하고 있다.
이 외에도, 딥페이크 기술을 이용한 사회 공학적 공격은 특정 조직이나 대중을 목표로, 사회적 혼란을 야기하거나 신뢰를 훼손하기 위한 악의적인 목적으로 사용될 수 있다. [보안위협 표 4-1]과 같이 딥페이크를 이용한 공격 방식은 정치적, 사회적 영향력이 큰 인물의 발언이나 행동을 조작하여 여론을 조작하는 데 활용되며, 특히 민감한 이슈와 결부될 경우 그 파급력은 매우 크다. 딥페이크로 생성된 가짜 영상이나 음성 파일이 실제로 확산될 경우, 대중은 이를 진실로 받아들이기 쉽고, 그 결과 사회적 갈등과 혼란이 증폭될 수 있다.
예를 들어, 특정 정치인이 혐오적이거나 분열을 초래할 만한 발언을 한 것처럼 편집된 딥페이크 영상이 퍼진다면, 이는 해당 정치인에 대한 불신을 조장하고 지지자와 반대자 간의 갈등을 심화 시키는 결과로 이어질 수 있다. 또한, 선거 기간이나 중요한 정책 발표 시점에 이러한 가짜 콘텐츠가 퍼질 경우, 대중의 의사 결정에 큰 영향을 미칠 수 있다.
[보안위협 표 4-1] 딥페이크를 이용한 사회 공학적 공격 주요 사례
딥페이크 기반의 사회공학적 공격에 대응하기 위해 [보안위협 표 4-2]와 같이 각국 정부와 글로벌 기업들이 다양한 조치를 시행하고 있다.
[보안위협 표 4-2] 각국과 기업의 딥페이크 대응 방안
그러나 이러한 노력에도 불구하고 딥페이크 기반의 사회 공학적 공격이 빠르게 증가하며 보안 위협이 더욱 복잡해지고 있다. Regula의 조사에 따르면, 2024년에는 조사 대상 전체 기업의 약 49%가 딥페이크 사기 공격에 노출된 경험이 있다고 조사되었으며, 이는 2022년 37%에서 크게 증가한 수치다. 특히 딥페이크 기술은 음성과 영상 복제를 통해 기업의 보안 시스템을 악용하는 주요 수단으로 활용되고 있다. 조사에서는 절반에 가까운 기업이 오디오와 비디오 딥페이크 공격을 동시에 경험했으며, 이는 기존 대비 큰 상승폭을 보였다.
Sumsub의 보고서에 따르면 전 세계적으로 딥페이크 사례가 전년 대비 245% 이상 급증했으며, 선거가 이루어지는 미국, 인도, 인도네시아, 멕시코 등에서 공격이 집중적으로 발생하고 있는 추세다. 이들 공격은 특정 인물의 목소리나 영상을 조작해 신뢰를 악용함으로써 금융 사기, 기밀 정보 유출, 정치적 여론 조작 등 다양한 방식으로 사회적 혼란을 유발하고 있다.
[보안위협 그림 4-2] 2024년 딥페이크 성장률 (출처 : Sumsub Research)
앞서 살펴본 바와 같이, 딥페이크 기반 사회 공학적 공격이 빠르게 증가하고 있으며, 이러한 추세는 2025년에도 더욱 정교해질 것으로 예상된다. 인공지능 기술의 발전은 공격자들이 새로운 방식으로 신뢰를 조작할 수 있는 가능성을 확대하고 있어, 기업과 개인을 대상으로 한 딥페이크 공격이 지속적으로 증가할 전망이다. 따라서 딥페이크 탐지 기술을 고도화하는 동시에 사용자 대상 교육 프로그램을 강화하여 효과적인 대비책을 마련하는 것이 시급하다.
