업무 환경에서의 신뢰는 오랫동안 자연스럽게 내재된 요소였다. 통화에서 익숙한 목소리가 들리거나, 화면에 잘 아는 얼굴이 등장하거나, 임원 명의의 메시지가 전달되면 대부분의 직원은 이를 의심할 이유가 없었다. 하지만 이러한 전제는 이제 점점 설득력을 잃고 있다.
최근에는 딥페이크의 활용 방식과 적용 영역이 빠르게 변화하고 있다. 합성 미디어는 결제 승인부터 임원 커뮤니케이션, 고객 지원 요청에 이르기까지 일상적인 비즈니스 프로세스 전반으로 확산되고 있다. 이러한 상호작용이 디지털 채널로 이동할수록 모방은 쉬워지고, 진위 확인은 더욱 어려워진다. 과거에는 공공 사기나 허위정보, 소셜미디어 문제로 여겨졌던 딥페이크가 이제는 기업 보안의 핵심 이슈로 떠오르고 있다.
가트너에 따르면 전체 조직의 62%가 이미 딥페이크 기반 사회공학 공격을 경험한 것으로 나타났다. 이는 CISO와 리스크 관리 책임자, 경영진과의 논의에서 체감되는 우려 수준을 그대로 반영한다.
대부분의 기업은 피싱 대응 교육과 이메일 보안에 상당한 투자를 해왔다. 이러한 통제는 여전히 중요하지만, 기존의 사기 방식에 맞춰 설계된 것이다. 딥페이크 공격이 특히 효과적인 이유는 노골적으로 의심스러운 요소를 드러내지 않기 때문이다. 오히려 정상적인 요청처럼 보이도록 만들어 사용자를 속인다.
왜 점점 더 강력해지고 있는가
이러한 현상은 조직이 더 분산되고 디지털화되며, 빠른 커뮤니케이션에 의존하게 된 흐름과 맞물려 있다. 화상회의, 채팅 플랫폼, 모바일 기기, 협업 소프트웨어는 이제 의사결정 방식 자체를 바꾸고 있다. 이들은 업무 속도를 높이지만 동시에 판단 시간을 압축한다. 사람들은 제한된 정보 속에서 신속한 대응을 요구받으며, 이는 조작에 유리한 환경을 만든다.
많은 기업에서 회의 중 지시나 메시징 플랫폼, 모바일 대화로 전달된 요청에 즉시 대응하는 것은 매우 일반적인 일이다. 이는 현대 업무 방식의 자연스러운 모습이지 결함이라고 보기는 어렵다. 문제는 이러한 패턴이 사람의 얼굴, 목소리, 커뮤니케이션 방식과 같은 신호를 신뢰할 수 있다는 전제 위에 구축돼 있다는 점이다.
최근 사례는 이 문제가 얼마나 광범위해졌는지를 보여준다. 엔지니어링 기업 아룹에서는 한 직원이 CFO를 포함한 고위 임원으로 보이는 인물들과 화상회의를 진행한 뒤 약 2,500만 달러(약 375억 원)를 송금하는 사건이 발생했다. 또 다른 사례에서는 봄베이증권거래소 CEO 순다라라만 라마무르티가 딥페이크 영상으로 사칭돼 투자자들에게 잘못된 주식 정보를 전달하기도 했다. 하나는 내부 승인 절차를, 다른 하나는 공신력 있는 리더에 대한 대중의 신뢰를 악용한 사례다. 이는 합성 미디어가 다양한 환경에서 의사결정을 조작할 수 있음을 보여준다.
이러한 공격을 가능하게 하는 기술 역시 접근성이 높아지고 있다. 과거에는 전문 지식과 상당한 투자가 필요했지만, 이제는 저렴한 AI 모델과 공개 도구, 소량의 데이터만으로도 구현이 가능하다. 짧은 음성 샘플만으로도 목소리를 모방할 수 있고, 제한된 이미지로도 설득력 있는 영상 사칭이 가능하다.
AI 기술 발전은 방어 기술에도 영향을 미치고 있지만, 핵심 문제는 여전히 남아 있다. 딥페이크가 빠르게 확산되는 이유는 기존 업무 방식과 자연스럽게 맞아떨어지기 때문이다. 결국 과제는 조작된 콘텐츠를 탐지하는 데 그치지 않는다. 신뢰가 악용될 수 있는 구조 자체를 줄이는 것이 더 중요한 문제로 떠오르고 있다.
사고 대응과 거버넌스, 현실에 맞게 고도화해야
현재 대부분의 기업은 피싱, 랜섬웨어, 데이터 유출에 대응하는 성숙한 대응 매뉴얼을 갖추고 있다. 그러나 조작된 미디어를 활용해 임원을 사칭하거나 부정 승인 절차를 유도하는 상황까지 구체적으로 대비한 곳은 많지 않다.
이러한 공백은 실제로 큰 문제로 이어질 수 있다. 많은 조직이 딥페이크 사고 역시 기존의 사기 또는 사이버 대응 절차로 처리할 수 있다고 가정하지만, 이를 면밀히 점검해보면 허점이 빠르게 드러난다.
특히 모의훈련은 이러한 취약점을 확인하는 데 효과적이다. 책임 소재가 불명확한 지점이나, 압박 상황에서 프로세스가 제대로 작동하지 않는 구간을 명확히 드러내기 때문이다. 예를 들어 가짜 임원의 지시를 가정한 시나리오는 적절한 검증 절차가 실제로 작동하는지를 빠르게 확인할 수 있다.
기업이 간과해서는 안 될 더 큰 문제는 거버넌스다. 금전적 손실이나 데이터 유출이 발생할 경우, 검증은 보안 조직을 넘어 이사회와 규제 당국으로 확대된다. 해당 리스크를 사전에 인지했는지, 그리고 합리적인 통제 체계를 갖추고 있었는지가 핵심 쟁점이 된다.
유럽연합(EU)의 디지털 운영 복원력법(DORA)과 같은 규제 프레임워크는 이러한 변화 흐름을 반영한다. 딥페이크는 재무 통제, 정보 관리, 브랜드 신뢰, 운영 연속성에 직접적인 영향을 미친다. 이에 따라 법무, 인사, 커뮤니케이션, 경영진 등 다양한 조직이 함께 대응해야 하는 문제로 확대되고 있다. 이는 단순한 보안 이슈를 넘어, 기업 전반의 리스크 관리 과제로 자리잡고 있다.
신뢰는 더 이상 ‘가정’이 아니라 ‘설계’의 영역
CISO에게 요구되는 다음 단계는 신뢰를 정책과 프로세스 기반으로 재정립하는 것이다. 단 한 번의 상호작용만으로 민감한 업무가 처리되지 않도록 구조를 바꿔야 한다. 금전, 계정 정보, 기밀 데이터, 평판 리스크가 포함된 요청이라면 반드시 기존 커뮤니케이션과 분리된 별도의 검증 절차를 거쳐야 한다.
이와 관련해 반복적으로 강조되는 핵심 원칙은 다음과 같다.
위협 모델을 확대
합성 미디어는 이메일, 내부 메시징, 공개 플랫폼, 외부 노출 콘텐츠 전반에서 주요 공격 경로로 간주해야 한다. 직원과 고객, 파트너가 이러한 환경에서 신뢰 기반 의사결정을 내리고 있다면, 해당 채널 역시 반드시 리스크 관리 범위에 포함돼야 한다.
콘텐츠 자체에 제로 트러스트 적용
많은 기업이 접근 제어와 신원 관리 영역에서 제로 트러스트 원칙을 적용하는 데 일정 부분 성과를 거두고 있다. 이제는 사람이 보고 듣고 받는 콘텐츠에도 동일한 수준의 기준을 적용해야 한다. 설득력 있는 영상이나 음성 메시지, 문서만으로 민감한 업무를 승인해서는 안 된다.
머신 속도의 자동 탐지 체계 구축
인간의 판단은 여전히 중요하지만, 조작된 미디어가 빠르게 생성·확산되는 환경에서는 그것만으로 충분하지 않다. 탐지 체계는 전사 환경 전반에서 실시간으로 작동해야 하며, 공격 수준에 상응하는 정교함을 갖춰야 한다.
딥페이크 특화 대응 체계 마련
사고 대응 계획은 단순한 사기나 피싱 시나리오에 머물러서는 안 된다. 임원 사칭, 결제 사기, 브랜드 악용, 내부 또는 외부로 확산되는 조작 콘텐츠 등 딥페이크 특화 상황에 대응할 수 있는 별도의 매뉴얼이 필요하다.
이러한 원칙은 실제 통제 방안으로 이어져야 한다. 특히 다음과 같은 조치는 기본적이면서도 중요하다.
• 고위험 요청은 반드시 다른 채널을 통해 재확인해야 한다
• 커뮤니케이션과 승인 절차는 분리해야 한다
• 긴급하거나 비정상적인 요청에는 명확한 에스컬레이션 경로를 설정해야 한다
• 논의용 채널과 승인용 채널을 명확히 구분해야 한다
궁극적으로 효과적으로 대응하는 조직은 심각한 사고가 발생하기 전에 선제적으로 변화에 적응한 기업이다. 딥페이크는 단순한 사기 수법이나 기술적 예외 상황이 아니라, 운영 복원력과 거버넌스, 그리고 압박 상황에서의 의사결정 역량을 시험하는 요소로 자리잡고 있다.
비즈니스에서 신뢰는 앞으로도 중요한 요소로 남는다. 다만 그 기반은 달라지고 있다. 현대 업무 환경에서 신뢰는 더 이상 ‘보이는 것’이나 ‘들리는 것’에 의존할 수 없다. 반드시 검증되어야 하며, 체계적인 프로세스와 함께 다른 모든 비즈니스 통제 요소와 동일한 수준의 엄격함으로 관리돼야 한다.
dl-ciokorea@foundryco.com
Read More from This Article: 칼럼 | 임원 사칭부터 결제 사기까지…딥페이크, 기업 리스크로 번지다
Source: News
