FBI IC3 2025 보고서: AI·딥페이크 금융사기 총손실 $208억 — 기업 임원 사칭 41%, iOS 주입 공격 1,151% 급증, 노인 피해 $77억5000만

FBI IC3 2025: 1,008,597건·$208억 — 역대 최고 손실액의 해부

FBI IC3 2025 보고서는 단순한 통계 모음이 아닙니다. 2025년 한 해 미국 내에서만 1,008,597건의 인터넷 범죄 신고가 접수됐으며, 이는 역사상 처음으로 연간 신고 건수가 100만 건을 돌파한 해입니다. 총 손실액 208억 7,700만 달러는 2023년 125억 달러 대비 67%, 2022년 102억 달러 대비 105% 증가한 수치입니다. 사이버범죄 피해가 2년 만에 두 배가 된 셈입니다. 이 급등의 핵심 동인 중 하나가 AI와 딥페이크 기술입니다.

범죄 유형별로 보면, 사업자이메일침해(BEC)가 금융 피해 기준 30억 4,700만 달러로 두 번째로 큰 피해 유형을 기록했습니다. BEC는 임원이나 거래처를 사칭해 송금을 유도하는 수법인데, 2024년부터 딥페이크 화상통화를 결합한 '하이브리드 BEC'가 급증하고 있습니다. 피해자는 화상통화로 CEO나 CFO의 얼굴을 보고 목소리를 들으면서 수억 원의 이체를 승인합니다. 전통적 이메일 기반 BEC와 달리 의심하기 훨씬 어렵습니다.

AI 관련 범죄만을 별도로 집계하면 22,000건 이상의 신고에 8억 9,300만 달러 이상의 손실이 발생했습니다. 이 중 AI 투자사기(주로 암호화폐 관련 딥페이크 사기)는 4,356건에 6억 3,200만 달러로, AI 범죄 손실의 70.8%를 차지합니다. 딥페이크로 합성된 금융 전문가·유명인이 투자를 권유하는 영상이 소셜미디어에 유포되고, 피해자를 위조된 투자 플랫폼으로 유도해 자산을 편취하는 수법입니다. FBI의 '오퍼레이션 레벨 업(Operation Level Up)'은 8,000명 이상의 잠재 피해자에게 경고를 발송해 5억 달러 이상의 피해를 사전에 차단하기도 했습니다.

노인을 겨냥한 딥페이크 — 60세 이상 피해 $77억5000만, 전체의 37%

FBI IC3 2025 보고서에서 가장 충격적인 수치 중 하나는 60세 이상 노인의 피해액입니다. 이 연령대에서만 77억 5,000만 달러의 손실이 신고됐으며, 이는 전체 손실의 약 37.1%에 해당합니다. 전체 신고 인구 중 노인은 25~30% 수준이지만, 손실 비중은 37%로 불균형하게 높습니다. 딥페이크 기술이 특히 노인에게 효과적인 이유는 두 가지입니다. 첫째, 기술 리터러시가 상대적으로 낮아 AI로 합성된 얼굴과 목소리를 구별하기 어렵습니다. 둘째, 사회적 고립 속에서 신뢰할 수 있는 사람처럼 보이는 상대와의 관계를 더 쉽게 형성합니다.

대표적인 수법은 '손자 사기(grandparent scam)'의 딥페이크 버전입니다. 범죄자들은 손자·손녀의 얼굴과 목소리를 딥페이크로 합성해 화상통화를 걸어 '교통사고가 났다', '체포됐다'며 즉시 보석금이나 의료비를 요구합니다. 실제 손자·손녀의 SNS 영상 몇 초만 있으면 충분히 사실적인 딥페이크를 만들 수 있고, 통화 전 수신자가 이미 감정적으로 동요돼 있기 때문에 객관적 판단이 어렵습니다. FBI는 피해자의 절반 이상이 '목소리가 정확히 우리 손자/손녀와 같았다'고 증언한다고 밝혔습니다. 또한 AI로 합성된 '로맨스 사기'도 급증하고 있는데, 딥페이크 영상통화로 장기간 신뢰 관계를 구축한 뒤 거액의 송금을 요구하는 패턴입니다.

iProov 2026: 기업 화상회의가 전쟁터가 됐다 — iOS 1,151%·동남아 720% 급등

iProov의 '2026 딥페이크 위협 인텔리전스 보고서'(2026년 4월 13일 공개)는 FBI IC3 보고서와 함께 읽을 때 그 의미가 배가됩니다. iProov는 금융·의료·정부 기관 고객의 생체인증 시스템에 시도된 실제 공격 데이터를 분석한 기업으로, 현장 데이터의 신뢰성이 높습니다. 핵심 발견은 '이식형(injection) 공격'의 폭발적 증가입니다. 이식형 공격이란 실시간 딥페이크 영상을 카메라 입력 스트림에 직접 삽입해 얼굴 인식·생체인증 시스템을 속이는 기술입니다. 실제 카메라에 얼굴을 비추는 대신 AI로 합성된 영상을 시스템에 주입합니다. iOS 환경에서의 이식형 공격은 2024년 대비 1,151% 급증했고, 안드로이드 환경에서도 유사한 증가 추세가 확인됐습니다.

지역별로는 동남아시아에서의 딥페이크 공격이 2025년 3분기에 전년 동기 대비 720% 급증했습니다. iProov CSO 앤드루 뉴웰(Dr. Andrew Newell) 박사는 '미얀마·캄보디아·라오스의 사기 센터가 AI 딥페이크 화상통화 기술을 표준 운영 절차로 채택하면서 동남아 공격이 폭증했다'고 설명했습니다. 실제로 USIP(미국평화연구소) 보고서에 따르면 이들 국가의 사기 센터에는 전담 'AI 룸(AI Room)'이 설치돼 있으며, 남성 사기꾼이 여성의 얼굴을 딥페이크로 교체해 화상통화를 진행하는 것이 일반화됐습니다. Kling AI, Nano Banana 등 무료·저가 도구가 기술 장벽을 제거했습니다.

기업 환경의 피해도 구체적인 수치로 드러납니다. Ponemon Institute 조사에서는 전 세계 기업의 41%가 AI로 합성된 임원 사칭 공격을 경험했다고 응답했습니다. Gartner 조사에서는 사이버보안 리더의 37%가 화상통화 중 딥페이크 사고를 직접 경험했다고 밝혔습니다. 홍콩의 한 다국적 기업 사례가 대표적입니다. 2024년 초, 범죄자들은 CFO를 포함한 여러 임원을 딥페이크로 합성한 화상회의를 열어 재무 담당자를 속여 2억 홍콩달러(약 3,300만 달러, 약 455억 원)를 이체하게 했습니다. 이 사건은 딥페이크 기업사기의 전환점이 됐으며, 이후 유사 수법이 전 세계로 퍼졌습니다.

대응 현황과 한계 — 법·기술·기업의 격차

FBI는 오퍼레이션 레벨 업 외에도, 인도 법집행기관과의 27건의 공동 작전을 통해 475명 이상을 체포하는 성과를 거뒀습니다. 그러나 이는 전체 범죄 생태계에 비하면 미미한 수준입니다. USIP 추산에 따르면 미얀마·캄보디아만 해도 22만 명이 사기 센터에서 강제로 운영 중인 상황에서, 수백 건의 체포는 근본적 해결책이 되지 못합니다. 한국은 2026년 6월 지방선거를 앞두고 딥페이크 관련 596명 규모의 전담 태스크포스를 가동했으며, 2024년 개정 공직선거법으로 선거 90일 전부터 딥페이크 선거 콘텐츠 생성·배포를 형사처벌합니다. EU는 AI법 제50조(2026년 8월 1일 발효)로 AI 합성 콘텐츠 워터마크를 의무화하고 있습니다.

기술적 대응은 이식형 공격을 중심으로 진화하고 있습니다. iProov는 '패시브 라이브니스(passive liveness)' 기술 — 사용자의 미세한 비자발적 움직임과 피부 조직을 분석해 딥페이크를 탐지하는 방식 — 이 이식형 공격에는 효과가 낮다고 인정하며, 'AI vs. AI' 실시간 대응 시스템을 개발 중이라고 밝혔습니다. C2PA 콘텐츠 크리덴셜(삼성 갤럭시 S25·구글 픽셀 10에 탑재)이 화상통화에 적용되기까지는 시간이 더 필요합니다. 현재로서는 ① 화상통화 중 예상치 못한 질문을 던지거나, ② 사전 약속된 비밀 코드를 요구하거나, ③ 중요한 금융 결정은 반드시 대면 또는 별도 채널로 재확인하는 것이 가장 현실적인 개인 방어책입니다.

브라이트디펜스(BrightDefense)가 2026년 4월 17일 업데이트한 딥페이크 통계 종합 보고서는 현재 상황을 이렇게 요약합니다. 모든 온라인 딥페이크 콘텐츠의 96~98%가 비동의 성적 이미지이며, 피해자의 99~100%가 여성입니다. 성적 딥페이크를 만드는 데 걸리는 시간은 25분 미만, 비용은 0원, 필요한 것은 선명한 얼굴 사진 한 장뿐입니다. 딥페이크 사기 시도는 2024년 1,300% 급증했으며(Pindrop), 2019~2024년 사이 비동의 딥페이크 콘텐츠는 1,780% 증가했습니다(NPCC). FBI IC3 2025 보고서와 iProov 2026 보고서가 동시에 보여주는 것은 명확합니다. 딥페이크는 이제 전 세계 금융사기의 핵심 인프라가 됐으며, 피해는 개인·기업·고령층 모두에게 동시에 미치고 있습니다. 법·기술·기업 대응이 모두 범죄의 속도를 따라가지 못하는 지금, 가장 중요한 방어선은 비판적 디지털 리터러시입니다.