수년 전부터 ‘인공지능(AI)’ 기술이 급속히 발전하면서 이를 악용한 금융 사기 역시 폭증하면서 하루가 멀다고 언론에 각종 피해 사례가 보도되고 있다. 

지난해 10월에는 타라나키의 한 여성이 ‘AI 기반 딥페이크’ 영상에 속아 22만 4,000달러라는 거금을 빼앗겼다는 소식이 주목받으면서 전국적인 큰 뉴스거리가 됐다. 

하지만 이는 빙산의 일각일 뿐 여전히 많은 피해 사례가 전해지는데, AI 기술이 갈수록 정교해지면서 개인의 각각 다른 상황별로 세밀하게 맞춤화한 사기로까지 발전하자 노인층은 물론 온라인 환경에 익숙한 젊은층까지 사기에 걸려든 경우가 허다하다. 

이번 호에서는 우선 인공지능과 딥페이크에 대해 간단히 소개한 뒤 몇 건의 사기 사례와 함께 이를 막기 위한 전문가들의 조언을 알아본다. 

<인공지능(AI)과 딥페이크(Deepfake)는?> 

‘인공지능(Artificial Intelligence, AI)’은 1956년 미국에서 처음 공식 사용한 용어로 인간의 학습, 문제 해결, 추론 능력을 컴퓨터가 모방하도록 만드는 기술을 의미한다. 

초기 연구는 체스와 같은 게임에서 인간을 이길 수 있는 컴퓨터를 만드는 것에서 시작했지만 이후 자연어 처리, 이미지 인식, 데이터 분석 등 다양한 분야로 발전했다.

AI는 인간처럼 사고하고 학습하며 특정 문제를 해결하는데, AI 핵심 기술에는 ‘머신러닝(Machine Learning)’과 ‘딥러닝(Deep Learning)’이 있으며, 이를 통해 방대한 데이터를 분석하고 패턴을 찾아 최적의 결론을 도출한다.

현재 애플의 ‘시리(Siri)’나 아마존의 ‘알렉사(Alexa)’처럼 음성 인식은 물론 안면 인식 기술, 의료 진단 등 영상 분석과 함께 챗봇, 자율주행 자동차와 같은 자동화 시스템은 물론 유튜브나 넷플릭스와 같은 곳에서 콘텐츠를 추천하는 일에도 사용한다. 

한편 ‘딥페이크(Deepfake)’는 ‘딥러닝(Deep Learning)’과 ‘페이크(Fake, 가짜)’의 합성어로 AI를 이용해 얼굴이나 목소리를 조작하는 기술을 의미한다. 

2017년경 인터넷 커뮤니티에서 처음 등장했으며 이후 빠르게 발전하면서 현재 아주 다양한 분야에서 활용되거나 또는 악용되고 있다.

‘딥페이크’는 주로 ‘GAN(Generative Adversarial Network, 생성적 적대 신경망)’이라는 AI 기술을 활용하는데, GAN은 2개의 신경망이 서로 경쟁하며 데이터를 학습해 더욱 정교한 가짜 이미지를 만드는 방식으로, 이를 통해 얼굴을 교체하거나 특정 인물의 음성 합성이 가능하다.

이 기술은 CGI(컴퓨터 그래픽) 보완, 사망한 배우의 영상 복원 등 영화와 엔터테인먼트 업계, 그리고 역사적 인물의 재현, 외국어 교육을 위한 가상 교사 등 교육 분야는 물론 의학을 비롯한 인간과 관련된 모든 분야에서 유용하게 활용할 수 있다. 

하지만 발언을 조작하는 등 가짜 뉴스나 선거 등 정치적 조작에 쓰이기도 하는데, 예컨대 볼로디미르 젤렌스키 우크라이나 대통령이 전선의 군인들에게 총을 내려놓고 죽지 말고 집으로 가라고 말하는 영상이 있었고, 지난해 미국 대선을 앞두고 일부 민주당 당원들은 조 바이든 대통령으로부터 11월까지는 투표하지 말라는 가짜 전화를 받기도 했다. 

이처럼 조작으로 국가 안보까지 뒤흔드는 일까지 빚어지는데, 특히 문제는 유명 인사를 사칭해 저지르는 금융 및 암호화폐 사기와 함께 허위 영상을 이용해 연예인 신체를 합성한 음란 영상 등 명예 훼손과 개인 정보 유출 등 갖가지 부작용이 발생하고 있다.  

이에 따라 AI와 딥페이크 기술이 하루가 다르게 발전하면서 기술의 윤리적 사용과 규제가 대단히 중요한 이슈로 떠올랐지만 각국의 법률이 미처 기술 발전은 물론 지능적 범죄의 발전 속도를 제대로 따라잡지 못하는 게 세계적인 현실이다.  

▲ 2001년 개봉한 스티븐 스필버그 감독의 영화 ‘A.I.’ 포스터, 원작은 1956년 나온 브라이언 W. 올디스(영국)의 소설인 ‘Supertoys Last All Summer Long’이다. 

<일론 머스크와 친구가 된 줄 알았는데…> 

지난해 9월 말 한국의 한 TV 기획 프로그램에서는, 테슬라 창업자이자 세계 최대 부자인 일론 머스크를 사칭한 사기 사건의 피해자에 대한 사례를 방송했다. 

당시 피해자 인터뷰 영상을 보면, 2023년 7월 피해자는 자신의 소셜미디어를 확인하고 깜짝 놀랐는데, 전혀 생각하지도 못했던 일론 머스크가 친구 신청을 해왔기 때문이었다. 

피해자는 “일론 머스크가 좀 특이한 행동을 많이 한다. 팬들하고 비밀리에 그냥 이렇게 툭 (메시지를) 던지기도 하는데 그럴 수도 있겠다.”라고 생각했다고 당시 상황을 설명했다. 

그런데 다소 미심쩍어하는 그에게 머스크는 테슬라 신분증을 보내왔고 자기 여권까지 찍어 보여줬다.

게다가 자신이 지금 어디에서 무얼 하는지 전할 때마다, 그 내용이 기존의 언론 보도와도 일치했다.

피해자는 당시 머스크가 “갑작스럽게 잡힌 일정이라 지금 일본이다”고 했는데 기사를 검색해 보니까 머스크가 진짜 일본에 갔으며, 또한 조금 있다가 연인이자 그와의 사이에서 2명의 아이까지 낳은 가수 ‘그라임스(Grimes)’의 공연을 봐야 한다면서, 또 연락한다고 전하는 바람에 품었던 의심이 단박에 풀렸다고 말했다. 

직후 머스크와 영상통화까지 했고 그 이후 한 달이 넘게 대화가 이어지면서 친밀감이 쌓였을 때 머스크는 가상화폐 투자로 돈을 불려주겠다는 귀가 솔깃한 제안을 했다.

귀신에 홀린 듯 돈을 보냈던 피해자가 이 모두가 조작이고 영상통화도 ‘딥페이크’였단 사실을 깨달았을 때는 이미 6,600만 원을 송금으로 모두 날린 뒤였다. 

이 사기 수법은 마치 돼지를 살찌우듯 천천히 시간을 들여 방심하게 만든 뒤 거액을 가로채는 방식으로 일명, ‘돼지 도살 사기(pig butchering scam)’라고 불린다. 

또 달콤한 말로 유혹해 속인다는 점에서 ‘로맨스 스캠(Romance Scam)’이라고도 하는데, 미군 등을 사칭해 친분을 쌓고 배송료나 통관비, 때로는 거액의 비자금을 찾는다는 명목으로 돈을 뜯어내는 건 이미 널리 알려진 수법이다. 

▲ 머스크를 사칭한 사기꾼이 여성에게 보낸 여권

<사기꾼 머스크 “팬들이 부자가 되는 게 나의 행복”> 

한편 같은 무렵 한국의 한 여성도 소셜미디어에서 머스크를 사칭한 계정으로부터 팔로우 요청을 받았다. 

평소에도 그의 팬이었다는 여성은 미심쩍어하면서도 그의 요청을 수락하였고 이후 본격적으로 사기꾼과 메시지를 주고받는 사이가 됐다.  

이때도 사기꾼은 테슬라는 물론 스페이스X로 출근하는 사진이나 신분증, 여권 사진 등을 보냈고 심지어 한국에 스페이스X 박물관을 세운다면서 여성과 신뢰를 쌓아갔다. 

앞서의 피해자처럼 이 여성도 머스크가 ‘어제 말레이시아에 다녀왔다’고 한 말을 다른 언론을 통해서 확인한 뒤에는 이 사기꾼이 진짜 머스크라고 믿게 됐다. 

또한 한국에 와서 윤석열 대통령과 만난 일화를 놓고도 머스크와 이야기를 나눴다는 피해자 여성이 특히 이 사기꾼을 완전하게 신뢰하게 된 계기는 역시 가짜 영상통화였다. 

사기꾼은 AI 기술을 활용한 딥페이크 영상통화를 통해 실제 머스크와 대화하는 것처럼 만들었고, ‘안녕. 나는 너를 사랑한다’라는 말까지 했다.  

결국 나중에 사기꾼은 ‘팬들이 내 덕분에 부자가 되는 게 나의 행복인데 투자를 대신 해주겠다’고 하면서 국내 은행 계좌번호를 알려줬는데, 이미 덫에 깊숙이 빠진 여성은 ‘한국인 직원의 계좌’라는 말에 속아 현금과 코인 등 총 7,000만 원을 입금했다. 

▲  유튜브 라이브 방송에 등장한 가짜 머스크

<머스크는 사기꾼 업계에서도 유명인사> 

이처럼 세계적 유명인사인 일론 머스크를 사칭한 사기 사건은 그동안 셀 수도 없이 많이 발생했지만 가장 널리 알려진 것은 지난해 사기꾼들이 AI 딥페이크 기술을 활용해 저지른 사건이었다. 

당시 머스크의 얼굴과 목소리를 정교하게 복제한 영상을 제작한 사기꾼들은 유튜브 라이브 방송을 무려 5시간이나 했는데, 제목은 ‘테슬라 걸작 공개: 자동차 산업을 영원히 바꿀 테슬라’였다. 

이 방송에서 머스크로 보이는 인물이 테슬라 이벤트 현장을 배경으로 등장, 시청자에게 경품 참여를 위해 ‘비트코인(Bitcoin)’, ‘이더리움(Ethereum)’, ‘도지코인(Dogecoin)’ 등의 암호화폐를 특정한 주소로 송금하도록 촉구하면서, 나중에는 이를 두 배로 돌려주겠다는 약속까지 했다. 

해당 영상의 시청자는 한때 3만 명에 달했는데 영상과 채널은 IT 전문 뉴스미디어인 ‘엔가젯(Engadget)’이 구글에 연락을 취한 뒤에서야 겨우 삭제됐다.

당시 사건은 AI 딥페이크 기술을 악용해 유명인사를 사칭하고 암호화폐 사기를 조장하는 데 사용한 대표 사례였으며, 구체적인 액수는 알려지지 않았지만 뒷소문으로는 상당한 피해가 발생한 것으로 전해졌다. 

특히 머스크를 전면에 내세운 사기 수법은 지금도 세계적으로 확산 중이며, 특히 암호화폐 투자자를 대상으로 큰 피해를 초래하고 있는데, 신용이 좋은 투자회사의 웹사이트를 도용하면서 여기에 가짜 머스크를 등장시킨 사례도 있다. 

딥페이크 모니터링 업체인 ‘센서티(Sensity)’ 분석에 따르면, 최근 발생한 투자 사기 관련 딥페이크 영상 약 25%에 머스크가 등장하며, 특히 암호화폐 관련 사기성 광고의 경우는 그 비율이 90%에 달한다. 

또한, 글로벌 컨설팅 기업 ‘딜로이트(Deloitte)’는 AI 생성 콘텐츠 사기 피해 규모가 2023년 약 120억 US달러에 달했고 뿐만 아니라 2027년까지 미국에서만 400억 US달러로 증가할 것으로 전망했다. 

특히 올해 초 도널드 트럼프 미국 대통령이 취임하고 머스크가 그의 최측근으로 등장하면서 더욱 유명한 인사가 된 데다가 머스크는 평소 갖가지 기행을 벌이는 경우가 많은 점도 피해자 양산의 한 요인이 되고 있다는 의견도 있다. 

▲ 지난해 8월 뉴질랜드 정부의 ‘금융시장국(Financial Markets Authority, FMA)’은 럭슨 총리를 비롯한 유명인을 동원한 딥페이크 영상 사기에 대한 경보를 내렸다.

<럭슨 총리가 암호화폐 투자를 권유?> 

지난해 10월에 전해졌던 뉴질랜드에서 일어났던 이와 유사한 사기 사건은 머스크가 아닌 크리스토퍼 럭슨 현 뉴질랜드 총리가 연금 생활자에게 암호화폐에 투자하도록 권유하는 광고에 등장하면서 시작됐다. 

72세로 알려진 피해 여성은 그해 7월에 페이스북에서 투자 권유 광고를 접하고 관심을 보였고, 그 이후 ‘아담 마놀라스(Adam Manolas)’라는 이름을 사용하는 그리스 국적의 사기꾼과 연락을 주고받게 됐다. 

여성은 모친이 물려준 20만 달러의 정기예금과 함께 2만 달러의 저축을 투자하고 싶어 했는데, 사기꾼은 영국 맨체스터에 본사를 둔 ‘테르마 그룹(Terma Group)’의 투자 자문가라고 자신을 소개했다. 

한편, 인터넷에는 실제 ‘테르마 그룹’을 덴마크에 기반을 두고 미국의 F-35 라이트닝 전투기 등에 복합재와 금속 및 전자부품을 납품하는 항공 우주기업으로 소개하고 있다.     

사기꾼은 피해자에게 원격 접속 소프트웨어 ‘애니데스크(AnyDesk)’를 보내 설치하게 유도한 뒤 이를 통해 피해자 이메일을 이용해 암호화폐 거래소 ‘이지 크립토(Easy Crypto)’와 ‘바이낸스(Binance)’에 계정을 개설했고 피해자가 직접 로그인하도록 지시했다. 

이후 피해자의 은행 계정을 통해 12차례에 걸쳐 하루 이체 한도액인 2만 달러씩 비트코인을 구매하도록 유도했는데, 그러나 비트코인은 정작 피해자 계정이 아닌 사기꾼이 관리하는 계정으로 전송됐다.

이렇게 26일 동안 사기꾼들은 상속받은 20만 달러와 저축은 물론 마지막에는 피해자가 손주들을 위해 마련한 계좌 돈까지 빼돌렸는데, 피해자가 사기임을 눈치챈 때는 예상 수익이라던 8.5%가 지급되지 않았을 때였다. 

한편, 피해자는 뒤늦게 경찰과 은행에 신고했지만, 은행 측은 피해자가 직접 원격 접속을 허용했고 본인 인증 코드까지 자발적으로 제공했기 때문에 책임을 지지 않는다는 입장을 밝혔다. 

은행 측은 ‘보안 자격 증명을 보호하지 못한 책임은 고객에게 있다’고 주장하면서 사기 피해를 예방하기 위해서는 절대로 원격 접속을 허용하지 말라고 경고했다. 

실제로 범죄가 진행되는 과정에서 피해자는 은행과 암호화폐 거래소인 ‘이지 크립토’로부터 이 거래를 우려하는 경고도 받았지만 지급 과정이 합법적인 것으로 생각하면서 사기꾼을 철석같이 믿었다. 

또한 피해자는 은행에서 정기예금 사용에 대해 직원으로부터 질문을 받았을 때도 돈이 ‘가족 일(family matter)’에 필요하다고 답변했던 것으로 알려졌다.  

한편, 사건 이후 피해자를 도운 컴퓨터 전문가는 사기꾼들이 대규모 국제 범죄 조직의 일원인 듯하며 이들의 계좌가 매일 수백만 달러를 받고 있었다면서, 훔친 돈을 암호화폐 거래소를 통해 세탁하고 있다고 설명했다. 

이 사건 외에도 이미 뉴질랜드에서는 전과는 비교할 수 없을 정도로 정교하게 구성한 AI 및 딥페이크, 그리고 이와 관련된 암호화폐 관련 사기가 계속해서 발생하는 중이다. 

지난 2023년에 한 뉴질랜드인은 유명한 경제 전문가를 사칭한 AI 딥페이크 영상을 보고 투자했다가 수십만 달러를 잃었다. 

또한 AI 챗봇을 이용해 친밀한 관계를 만든 뒤 돈을 요구하는 로맨스 스캠 역시 더 정교한 방법으로 진화했는데, 지난해 초 한 60대 여성이 온라인에서 만난 가짜 ‘미군 장교’에게 속아 15만 달러를 송금한 사례가 있다. 

▲  2020년 말 제주국제사진공모전에서 대상으로 뽑혔다가 노루가 합성으로 밝혀져 수상이 취소된 ‘설원에 노루 나들이’ 

<안 당하려면 기본적 학습과 조언자 필히 확보해야> 

전문가들은 AI 기반 딥페이크 사기를 피하기 위해서는 다음과 같은 점에 특히 유의하고 현명하게 행동하도록 조언했다. 

1. 원격 접속 요청 거부: 금융기관이나 투자회사는 고객에게 원격 접속을 요구하지 않으므로 누군가 원격 접속을 요청하면 즉각 의심해야 한다.

2. 딥페이크 감별 훈련: AI 딥페이크 기술은 매우 정교한데 만약 목소리나 표정이 부자연스럽거나 영상에서 눈동자가 비정상적으로 움직이면 일단 의심해 볼 필요가 있다.

3. 2단계 인증 코드 공유 금지: 은행이나 거래소에서 발급한 인증 코드를 누구에게도 제공해서는 안 된다.

4. 공식 웹사이트 확인: 투자나 금융 거래와 관련된 정보는 반드시 해당 회사의 공식 웹사이트나 고객센터를 통해 확인해야 한다.

5. 지인과 상의: 대규모 금액을 이체하기 전에 가족이나 친구와 먼저 상의해 보는 것도 안전을 지키는 한 방법이다. 

6. 경찰 및 금융기관에 신고: 사기 피해를 봤다면 즉시 경찰과 금융기관에 신고해야 하며 암호화폐 거래소에도 거래 중지를 요청할 수 있다.

하지만 아무리 조심해도 갈수록 AI 기술이 발전하면서 특히 딥페이크를 이용한 사기 수법이 개인의 각기 다른 상황에 맞춤식으로 더욱 정교해져 결국 피해를 예방하려면 개인의 경각심이 무엇보다도 중요하다. 

또한 평소 기본적인 학습을 통해 이에 대한 대략적인 이해라도 하고 있으면 피해 예방에 도움이 되며, 주변에 이런 경우를 대비해 조언을 받을 믿을 수 있는 사람을 미리 마련해 두는 것도 꼭 필요하다. 

특히 기존의 보이스 피싱 수법은 물론 AI 기반 사기도 해외를 근거지로 일어나 막상 일어나면 피해 복구가 거의 불가능한 만큼 당하지 않는 것이 최선이라는 생각을 늘 잊지 말아야 한다.