신뢰는 협력, 거래, 그리고 기업 의사결정의 기반입니다. 디지털 시대에 신뢰는 서명, 음성, 그리고 비대면 상호작용을 통해 형성됩니다. 그러나 딥페이크 기술이 빠르게 발전하면서 이러한 신뢰는 점차 약화되고 있으며, 수십 년에 걸친 사이버 보안 투자마저 우회하는 새로운 위험이 등장하고 있습니다.
The AI Forecast 이번 에피소드에서 Paul Muller는 GetReal Security의 최고 제품 및 기술 책임자 Jim Brennan과 함께 AI 기반 AI 기반 진위 위협이 기업 보안의 판도를 어떻게 바꾸고 있는지 논의합니다. 이 대화는 딥페이크가 왜 새로운 형태의 소셜 엔지니어링으로 떠오르고 있는지, 왜 인간의 눈이 아니라 기술이 방어를 주도해야 하는지, 그리고 리더들이 자사와 구성원을 어떻게 보호할 수 있는지를 보여줍니다.
가장 취약한 고리가 된 인간 계층
Paul: 디지털 전환을 통해 우리는 즉각적으로 협업할 수 있는 환경을 갖추게 되었습니다. 하지만 이제는 우리가 의존하는 바로 그 대상, 즉 화면 속 작은 창이 새로운 공격 표면이 되었습니다. 눈으로 보는 것을 믿을 수 없다면, 결국 비용이 많이 들고 느린 오프라인 상호작용으로 돌아갈 수밖에 없습니다.
Jim: 한 CIO는 저에게 “이 작은 창이 바로 내가 비즈니스를 운영하는 공간인데 이제는 이 창을 통해 들어오는 어떤 것도 믿을 수 없습니다”라고 말했습니다. 매우 의미심장한 말입니다. 인간의 눈으로는 이 정도 수준의 정교함을 구분해낼 수 없습니다. 대부분의 사람들은 사실상 반반의 확률로 추측할 뿐입니다. 그래서 방어는 직감이 아니라 기술이 주도해야 합니다.
신뢰는 협력을 가능하게 하고, 협력은 비즈니스를 움직입니다. 하지만 딥페이크는 리더들이 일상적으로 의존하는 대화와 화상 통화처럼 가장 개인적인 차원에서 그 신뢰를 무너뜨리고 있습니다. Jim은 이를 새로운 인간 접점의 상호작용 계층으로 설명하며 ‘디스플레이 계층(display layer)’이라고 부릅니다. Paul은 이를 농담처럼 ‘Liar 8’이라고 불렀는데, 이는 완전히 새로운 공격 표면을 뜻합니다. 기존의 방화벽이나 침입 탐지 시스템과 달리, 이것은 기술 계층이 아니라 인간 계층에서 벌어지는 문제입니다. 즉, 경영진이 커뮤니케이션하고 의사결정을 내리는 수단 자체가 이제 조작의 대상이 되고 있습니다.
과장된 시나리오보다 현실적 위협에 반응하는 이사회
Paul: 이사회가 딥페이크를 ‘우리에게는 일어나지 않을 일’로 치부할 위험은 없을까요?
Jim: 한 번만 직접 보면 그것이 실제 위협이라는 사실을 곧바로 믿게 됩니다. 다만 더 중요한 과제는 그것이 해당 기업에 어떤 의미를 갖는지를 보여주는 것입니다. 너무 자극적인 사례를 앞세우면 이사회에서는 오히려 이를 대수롭지 않게 넘길 수 있습니다. 실제로는 더 작고 일상적인 사건들이 이미 일어나고 있으며, 이러한 사례가 훨씬 더 큰 공감을 불러일으킵니다.
그는 대표적인 사례로 ‘채용 사기’를 언급합니다. 공격자들은 딥페이크를 활용해 지원자를 가장하고 인사 절차를 통과하고 있습니다. 경우에 따라서는 입사 보너스를 챙기려는 단순한 금전적 목적일 수 있습니다. 하지만 더 심각한 경우에는 국가 차원의 행위자가 기업 내부에 위장 인물을 침투시켜 첩보 활동이나 대규모 사기를 벌이기도 합니다.
Jim: 지난 3개월 동안 제가 이야기를 나눈 모든 Fortune 500 및 1000 기업은 채용 사기 문제를 겪고 있다고 말했습니다. 인사팀은 본질적으로 공격자처럼 사고하도록 설계된 조직이 아니기 때문에 채용 과정은 손쉬운 표적이 됩니다.
디지털 신뢰 확보를 위한 기술 중심 대응
Paul: 우리는 늘 기술로 기술에 대응해 왔습니다. 방화벽, 백신, 침입 탐지 시스템이 대표적인 예죠. 딥페이크에도 같은 방식을 적용할 수 있을까요?
Jim: 단순히 학습만으로는 이 문제를 해결할 수 없습니다. 블랙박스 모델을 구축하고 진짜와 가짜 데이터를 학습시키는 방식으로는 충분하지 않습니다. 더 나은 접근 방식은 딥페이크가 남기는 흔적, 즉 얼굴 왜곡, 음성 잡음, 조명 불일치 같은 특징을 디지털 포렌식으로 분석한 뒤 머신러닝을 활용해 그러한 신호를 대규모로 찾아내는 것입니다.
Jim은 효과적인 방어를 위해서는 범용 AI를 넘어, 생성 도구의 내부까지 들여다보며 미세한 흔적과 아티팩트를 식별해야 한다고 설명했습니다. 실무적으로는 Zoom이나 Teams와 같은 플랫폼의 API를 활용해 별도의 단말 설치 없이 이러한 보호 기능을 적용할 수 있으며, 이를 통해 확장성과 운영 효율성을 동시에 확보할 수 있습니다. 인식 제고 역시 중요한 요소입니다. 웨비나, 데모, 시뮬레이션을 통해 직원들은 즉각적으로 행동하기 전에 한 번 멈춰 생각할 수 있는 컨텍스트를 얻게 됩니다. 디지털 신뢰를 보호하기 위해서는 기술과 교육이라는 두 축이 함께 작동해야 합니다.
기업 리더를 위한 시사점
Jim: 이제 우리는 이 창이나 화면을 통해 보이는 어떤 것도 쉽게 신뢰할 수 없는 시대에 살고 있습니다. 따라서 조직에는 새로운 정책이 필요하고, 운영 방식 역시 새롭게 정비되어야 합니다.
위협 환경은 이미 변화했습니다. 딥페이크는 더 이상 미래의 위험이 아닙니다. 딥페이크는 이미 현실이 되었으며, 기업의 의사결정뿐만 아니라 개인의 안전까지 위협하고 있습니다. 채용 사기에서 AI 복제 음성을 이용한 몸값 요구 전화에 이르기까지, 디지털 신뢰는 이제 더 이상 보장되지 않습니다.
앞으로의 대응 방향은 다음과 같이 세 가지로 정리할 수 있습니다.
- 기존 리스크 관리 체계에 부합하는 신뢰할 수 있고 현실감 있는 사례를 통해 이사회를 이해시킬 것
- ‘보는 것’과 ‘듣는 것’만으로는 진위를 판단할 수 없다는 인식을 조직 전반에 확산할 것
- 진위 위협을 실시간으로 탐지하고 대응할 수 있는 기술을 도입할 것
Jim Brennan과의 전체 대담은 The AI Forecast에서 Spotify, Apple Podcasts, YouTube를 통해 확인하실 수 있습니다.
