[기고]생성형 AI 시대, 딥페이크 사기와 소셜 엔지니어링 방어 전략

생성형 AI(Generative AI)의 발전은 사회 전반에 걸쳐 혁신을 가져왔지만, 동시에 새로운 차원의 사이버 위협을 야기하고 있다. 특히, 딥페이크(Deepfake) 기술의 고도화는 얼굴과 목소리를 넘어, 개인의 말투와 맥락까지 모방하며 현실과 가상의 경계를 허물고 있다. 이러한 기술은 사회 공학적 공격(Social Engineering Attacks)과 결합해 공공기관, 금융기관, 대기업 등 신뢰가 중요한 한국의 핵심 기관들을 겨냥한 신종 사기 수단으로 악용되고 있다.

최근 등장한 생성형 AI 기반 공격은 기존의 피싱 사기와는 근본적으로 다르다. 공격자는 공개된 정보와 유출된 데이터를 활용해 특정 인물의 얼굴, 목소리, 행동 패턴을 딥페이크로 재현한다. 이를 통해 '딥페이크 보이스 피싱' '딥페이크 화상 통화 사기' 등이 현실화되고 있다. 금융기관에서는 임원 명의의 딥페이크 음성으로 자금 이체를 지시하거나, 대기업에서는 협력사 대표의 딥페이크 영상으로 계약 정보를 탈취하는 사례가 우려되고 있다. 서비스업에서는 고객센터 직원을 사칭해 고객 정보를 빼내려는 시도도 가능하다.

딥페이크 공격은 생성형 AI가 자동으로 작성하는 맞춤형 이메일, 문자, 가짜 웹사이트 등과 결합될 때 더욱 위험해진다. 이른바 'GenAI Social Engineering Attack'이다. 공격자는 자연스러운 문장과 감정적 유도를 포함한 메시지로 피해자를 속이고, 정보 제공이나 특정 행동을 유도한다.

이러한 위협에 대응하기 위해 기업들은 다음과 같은 다층적 방어 전략을 마련해야 한다.

첫째, 탐지 및 모니터링 강화다. 기존의 시각·청각적 단서만으로는 딥페이크 판별이 어렵다. AI 기반 딥페이크 탐지 솔루션을 통해 영상과 음성의 비정상 패턴, 미세 왜곡, 메타데이터 등을 분석해야 한다. 또한, 지능형 피싱 탐지 시스템을 도입해 이메일, 메시지의 문맥과 발신자 정보, 요청 내용의 비정상성을 감지해야 한다. 시스템 접근 시에는 생체 인증 외에도 다중 인증 절차를 강화해야 한다.

둘째, 예방 및 방어 체계 구축이다. 사람 중심의 방어 전략이 핵심이다. 임직원을 대상으로 딥페이크와 생성형 AI 기반 공격의 사례와 특징을 반복적으로 교육하고, 긴급하거나 민감한 요청에 대해서는 별도의 검증 절차를 거치도록 해야 한다. 예를 들어, 거액 송금 요청 시 직접 대면 확인이나 사전 공유된 비밀번호 확인, 다른 채널을 통한 재확인을 필수화해야 한다. 또한, 중요 시스템 접근 권한을 철저히 관리하고, 비정상적인 데이터 접근을 탐지하는 기술적 보안 조치도 병행해야 한다.

셋째, 사고 대응 및 복구 계획 수립이다. 딥페이크 공격 발생 시 신속한 상황 파악과 확산 방지를 위한 대응 절차와 담당자를 명확히 해야 한다. 법 집행 기관과의 협력 체계를 사전에 구축하고, 피해 복구 및 재발 방지 대책을 신속히 실행할 준비가 필요하다.

생성형 AI가 만들어내는 딥페이크 사기와 지능형 소셜 엔지니어링 공격은 한국의 주요 기관에 실질적 위협이 되고 있다. 단편적 보안 솔루션만으로는 더 이상 안전을 보장할 수 없다. 공공기관, 금융기관, 대기업, 서비스업체들은 지금 즉시 생성형 AI 기반 위협에 특화된 탐지 기술을 도입하고, 강력한 보안 교육 및 훈련, 행동 강령을 포함한 대응 프로세스를 마련해야 한다. 기술적 방어와 인간적 경계심의 조화를 통해 새로운 사이버 위협에 성공적으로 대응해 나가야 할 시점이다.

오창용 에스알포스트 대표 herald@srpost.co.kr