실제 임원 딥페이크 사례: CEO가 표적이 될 때

AI 사칭으로부터 안전한 코너 오피스는 없다는 것을 입증하는 5가지 검증된 사례.

사례 연구 1: $25M Arup 재난 재해

회사: Arup(시드니 오페라하우스의 배후에 있는 글로벌 엔지니어링 회사)
손실: $2,560만
방법: 딥페이크 CFO 및 직원과의 다자간 화상 회의
날짜: 2024년 초

보안 전문가들은 이를 지금까지 발생한 가장 정교한 기업 딥페이크 공격 중 하나라고 부릅니다. 홍콩에서 한 Arup 직원이 영국에 있는 회사의 최고재무책임자 및 다른 동료들과 일상적인 화상 통화를 하는 것처럼 보이는 회의에 참여했습니다. 이 회의는 합법적으로 보였고 참가자들은 실제 경영진과 똑같은 외모와 목소리를 냈습니다.

통화 중에 직원은 5개의 다른 은행 계좌로 총 1억 7천만 홍콩달러에 해당하는 15건의 개별 거래를 실행하라는 지시를 받았습니다. 

이 직원은 본사에 확인한 후에야 화상 통화 상대방이 모두 AI가 생성한 딥페이크였다는 사실을 알게 되었습니다.

이것은 단순한 음성 복제나 정적 이미지가 아니었습니다. 사기범들은 여러 임원이 동시에 등장하는 실시간 대화형 동영상을 제작하여 기업 사이버 범죄의 새로운 진화를 상징하는 수준의 복잡성을 만들어냈습니다.

"전 세계의 다른 많은 기업과 마찬가지로 저희도 인보이스 사기, 피싱 사기, WhatsApp 음성 스푸핑, 딥페이크 등 정기적인 공격을 받고 있습니다. 최근 몇 달 동안 이러한 공격의 수와 정교함이 급격히 증가하고 있다는 사실을 확인했습니다." Rob Greig, Arup CIO

사례 연구 2: 페라리의 $40억 질문

회사: Ferrari
Target: CEO 베네데토 비냐
손실 시도: 공개되지 않음(소문에 따르면 수백만 명)
방법: 남부 이탈리아 억양의 딥페이크 AI 음성
날짜: 2024년 7월
결과: 예방

페라리의 경영진은 프로필 사진과 회사 브랜딩과 함께 CEO인 베네데토 비냐가 보낸 것으로 보이는 메시지를 WhatsApp을 통해 받았습니다. 이 메시지는 곧 있을 대규모 인수에 대해 이야기하며 기밀 재무 정보를 즉시 공유할 것을 촉구했습니다. 후속 통화에서 딥페이크는 비냐의 남부 이탈리아 억양까지 모방했습니다. 

다행히 한 임원이 의심을 품고 "지난주에 추천해 준 책 제목이 뭐였나요?"라는 간단한 질문을 던졌지만 AI가 대답하지 못하자 사기는 실패로 돌아갔습니다.

때로는 가장 정교한 기술도 가장 단순한 인간 프로토콜에 의해 무력화될 수 있습니다. 페라리의 아슬아슬한 승부는 최신 딥페이크의 품질과 개인 인증 방법의 힘을 모두 보여줍니다.

사례 연구 3: WPP의 Microsoft Teams 함정

회사: WPP(세계 최대 광고 그룹)
Target: CEO 마크 리드
방법: WhatsApp 계정 + 음성 복제 및 YouTube 영상이 있는 팀 모임
날짜: 2024년 5월
결과: 예방

사이버 범죄자들은 WPP의 CEO인 마크 리드의 공개적으로 공개된 사진을 사용하여 가짜 WhatsApp 계정을 만들었습니다. 그런 다음 이 자료를 사용하여 다른 고위 경영진과 Microsoft Teams 회의를 예약하고, 이 계정을 사용하여 '신규 사업'을 위한 즉각적인 자금 및 개인 정보에 대한 액세스 권한을 요청했습니다.

사기범들은 화상 통화 중에 음성 복제 기술과 녹화된 유튜브 영상을 조합하여 Read를 사칭했습니다. 

마크 리드 CEO의 답변: "다행히 공격자들은 성공하지 못했습니다. 우리 모두는 이메일을 넘어 가상 회의, AI, 딥페이크 등을 악용하는 기법에 대해 경각심을 가져야 합니다."

WPP 사건은 미디어에서 영향력이 큰 경영진이 얼마나 더 취약한지를 보여줍니다. 이들에 대한 대량의 공개 사진과 동영상은 범죄자들에게 딥페이크 제작에 완벽한 소재를 제공합니다.

사례 연구 4: 바이낸스 "AI 홀로그램" 계획

회사: 바이낸스(세계 최대 암호화폐 플랫폼)
Target: 패트릭 힐만, 최고 커뮤니케이션 책임자
방법: TV 인터뷰 영상을 사용한 화상 회의 '홀로그램'
날짜: 2022년(초기 주요 사례)
결과: 속은 여러 암호화폐 프로젝트

정교한 해커들은 힐만이 TV와 뉴스에 출연한 클립을 사용하여 'AI 홀로그램'이라고 부르는 것을 만들었습니다. 이 딥페이크는 매우 설득력 있게 만들어져 여러 암호화폐 담당자를 Zoom 통화 중에 속이는 데 성공했습니다.

범죄자들은 이 기술을 사용하여 바이낸스 상장을 위한 프로젝트 회의에서 힐만을 사칭했습니다. 이는 암호화폐 업계에서 가장 가치 있는 보증 중 하나입니다. 

힐만의 말에 따르면   "... 코로나로 인해 체중이 눈에 띄게 늘어난 15파운드를 제외하면, 이 가짜는 고도로 지능적인 암호화폐 커뮤니티 회원들을 속일 수 있을 만큼 정교하게 만들어졌습니다."

바이낸스 사건은 범죄자들이 단순한 음성 복제를 넘어 특정 비즈니스 프로세스를 노리는 정교한 동영상 사칭으로 나아가고 있다는 조기 경고를 보여주었습니다.

사례 연구 5: LastPass의 내부 모닝콜

회사: LastPass(사이버 보안/비밀번호 관리)
Target: 대상: 회사 CEO
방법: WhatsApp 통화, 문자 및 음성 메일 사칭
날짜: 2024년 초 

결과: 예방

딥페이크 사기범들은 WhatsApp을 통해 전화, 문자 메시지, 음성 메일을 남기며 회사의 CEO를 사칭해 LastPass를 공격했습니다.

표적이 된 직원은 몇 가지 위험 신호를 발견했습니다:

• 정상 업무 시간 외에 통신이 발생했습니다;
• 이 요청에는 일반적인 사기 수법과는 다른 긴급성이 담겨 있었습니다;
• 채널과 접근 방식이 표준 회사 커뮤니케이션 프로토콜에서 벗어났습니다.

사이버 보안 전문가가 성공적으로 표적이 될 수 있다면 모든 조직은 자신들이 취약하다고 가정해야 합니다.

사례 이면의 패턴

이렇게 확인된 사건을 분석해 보면 일관된 범죄 수법이 드러납니다:

경영진 취약점 프로필

연구에 따르면 특정 경영진의 특성이 딥페이크 타겟팅 위험을 증가시킨다고 합니다:

• 중요한 미디어 활동(TV 인터뷰, 팟캐스트, 컨퍼런스)
• 온라인으로 제공되는 공개 연설 영상
• 금융 승인 기관
• 해외 비즈니스 운영
• 업계에서 주목받는 직책

지리적 핫스팟:

• 홍콩(금융 허브, 규제 복잡성)
• 북미(높은 디지털 채택률, 경제 규모가 큰 지역)
• 유럽(GDPR 준수로 인한 검증 문제 발생)

인적 요소

모든 기술적 정교함에도 불구하고 많은 공격은 여전히 인간의 기본적인 심리에 의존합니다:

• 권위 편향(인지된 상사의 명령)
• 긴급성 압박(인위적인 시간 제약)
• 기밀성 이의 제기(특별 액세스, 내부자 정보)
• 사회적 증거(다수의 '동료' 참석)

이러한 공격에서 살아남은 경영진은 건강한 회의주의, 검증 프로토콜, 잠재적 위협에 대한 팀 커뮤니케이션이라는 공통된 특징을 가지고 있습니다.

페라리의 사례에서 알 수 있듯이 때로는 간단한 질문이 백만 달러짜리 기술을 이길 수 있습니다.

참조

CNN (2024년 2월 4일) - "금융 종사자, 딥페이크 '최고재무책임자'와 화상 통화 후 1억 7천 5백만 달러 지급"

포춘 (2024년 5월 17일) - "딥페이크 'CFO'가 시드니 오페라 하우스의 배후에 있는 영국 디자인 회사를 속여 1억 7천 5백만 달러의 사기를 쳤다"

가디언 - Arup 공격에 대한 Rob Greig의 인용문

MIT 슬론 경영 리뷰(2025년 1월 27일) - "페라리가 딥페이크 CEO에게 제동을 건 방법"

가디언 (2024년 5월) - WPP CEO 마크 리드 딥페이크 시도

인코드 블로그(2024년 12월 20일) - "2024년 AI 딥페이크 사기 상위 5가지 사례 공개"

바이낸스 블로그 - 패트릭 힐만의 "사기꾼들은 의심하지 않는 프로젝트를 사기 위해 나의 AI 홀로그램을 만들었습니다."

유로뉴스 (2022년 8월 24일) - "바이낸스 임원, 사기꾼들이 자신의 딥페이크 '홀로그램'을 만들었다"

Eftsure US - "7가지 딥페이크 공격 사례: 딥페이크 CEO 사기" - LastPass 사례