비대면으로 대출 받는데…AI로 얼굴·신분증 위조범죄 급증

(서울=뉴스1) 김민수 기자 = 인공지능(AI)으로 만든 얼굴과 신분증 이미지가 비대면 본인확인 절차를 위협하고 있다. 가짜 영상 유포나 유명인 사칭을 넘어 금융거래·플랫폼 가입의 관문인 고객확인 절차를 우회하는 신원사기 수단으로 딥페이크가 쓰일 수 있다는 경고가 나온다.

28일 보안업계 등에 따르면 딥페이크 기반 신원사기는 얼굴 합성, 신분증 위조, 카메라 입력값 조작을 결합하는 방식으로 진화하고 있다.

글로벌 보안기업 엔트러스트의 '2026 신원사기 보고서'는 딥페이크가 생체인증 사기 시도 5건 중 1건을 차지한다고 밝혔다. 이 보고서는 195개국, 30개 이상 산업에서 이뤄진 10억 건 이상의 신원확인 데이터를 분석했다.

엔트러스트에 따르면 딥페이크 셀피 시도는 2025년 58% 늘었다. 조작된 영상·이미지 입력값을 인증 시스템에 주입하는 '인젝션 공격'(injection attack)도 전년 대비 40% 증가했다.

인젝션 공격은 이용자가 카메라 앞에서 실제 얼굴을 촬영하는 절차를 우회하는 방식이다. 조작된 이미지나 영상을 신원확인 시스템에 직접 넣어 실시간 촬영 절차를 건너뛴다. 얼굴 촬영 단계가 있더라도 시스템이 실제 카메라 영상과 조작 입력값을 구분하지 못하면 인증 절차가 뚫릴 수 있다.

신원확인 기업 슈프티도 '2026 딥페이크 신원사기 지수 보고서'에서 올해 딥페이크 기반 신원사기가 2025년보다 495% 늘 수 있다고 전망했다. 슈프티가 자사 글로벌 신원확인 네트워크에서 처리한 사기 시도 데이터를 바탕으로 낸 연율 추정치다.

슈프티는 딥페이크 신원사기를 합성 신원, 라이브 영상 딥페이크, 얼굴 교체, 문서 딥페이크 등 네 가지 유형으로 나눴다. 이 가운데 AI로 조작된 신원 문서를 활용하는 문서 딥페이크는 올해 전년 대비 약 3900% 늘 수 있다고 봤다. 올해 1~5월 사기율을 연율화한 추정치다.

국내에서도 비대면 계좌개설, 가상자산거래소 가입, 간편인증, 모바일 신분증 연계 서비스가 확산돼 있다.

한국인터넷진흥원(KISA)은 지난해 12월 발간한 '전자적 본인확인 수단의 현황 분석 및 시사점'에서 휴대전화 인증, 민간 간편인증, 생체정보 기반 인증 등 본인확인 수단이 다양해졌다고 정리했다. 기기 기반·맥락 기반·행동 기반 인증과 이를 조합한 복합인증 방식도 확산하고 있다고 봤다.

KISA는 개인정보 유출, 계정 탈취 등 본인확인 관련 공격이 고도화되면서 단일 인증 방식만으로는 본인확인 체계의 신뢰성을 보장하기 어렵다고 분석했다. 서비스 위험도에 따라 인증 수준을 나누고 다중·위험기반 인증을 요구하는 흐름이 강화되고 있다는 설명이다.

해외 보고서들은 방어 방식도 단순 얼굴 대조에 머물러서는 안 된다고 지적한다. 엔트러스트는 라이브니스 탐지(liveness detection), 인젝션 공격 방지, 행동·기기 인텔리전스 활용을 제시했다.

라이브니스 탐지는 화면 앞에 실제 사람이 있는지 눈 깜빡임, 고개 움직임, 조명 변화 반응 등으로 확인하는 방식이다. 인젝션 공격 탐지는 가상 카메라나 조작된 입력 경로를 통해 합성 영상이 인증 시스템에 들어오는지를 걸러낸다. 행동·기기 인텔리전스는 접속 기기, 위치, 입력 패턴, 이용 이력 등을 함께 살펴 평소와 다른 이상징후를 잡는 방식이다.

비대면 본인확인은 신분증과 얼굴이 실제 이용자의 것이라는 전제 위에서 작동해왔다. 그러나 딥페이크가 얼굴 합성, 문서 위조, 영상 주입 방식으로 진화하면서 이제는 제출된 정보 자체가 조작됐는지까지 확인해야 한다는 우려가 커지고 있다.

정부도 딥페이크 성착취, AI 허위·부당광고, AI 금융사기 등 AI 악용 범죄가 심각하다는 점을 인지하고 이에 대응하기 위한 범부처 협의체를 출범했다.

AI 범죄가 온라인 플랫폼, 금융, 통신, 개인정보, 수사, 국제협력 등 여러 영역을 넘나드는 복합 범죄로 번지면서 개별 부처 대응만으로는 한계가 있다는 판단에서다.

'AI 범죄 근절 종합 대응 계획'도 수립한다. 이 계획은 AI 범죄 예방, 탐지·차단, 수사·단속, 피해회복, 재발방지 등 대응 전 과정을 포괄한다. 정부는 관계부처가 각자의 전문성과 정책 수단을 연계해 AI 범죄에 대응하는 데 초점을 맞췄다.

핵심은 정보 공유 속도다. AI 범죄는 특정 플랫폼에서 징후가 발견돼도 실제 피해는 금융, 통신, 개인정보, 수사 영역으로 빠르게 번질 수 있기 때문이다.

정부는 상시 통합 대응체계를 통해 범죄 징후를 공동 분석하고 신속히 공유하는 방안을 검토하고 있다. 방미통위는 플랫폼 유통과 이용자 보호, 과기정통부는 AI·통신·정보보호 정책, 금융위는 금융사기 대응, 개인정보위는 개인정보 침해, 경찰청은 수사·단속을 맡는다.

정부는 관계부처 합동으로 마련한 'AI 범죄 근절 종합 대응계획'을 향후 국가AI전략위원회 등과 협의를 거쳐 발표할 예정이다.

kxmxs4104@news1.kr