딥페이크 금융사기 21.9억 달러 세계 지도 — 말레이시아 99.7% 투자사기·홍콩 로맨스 1위·인도네시아 불법 대출, 국가별 피해 유형은 왜 이렇게 다른가

왜 딥페이크 사기는 나라마다 수법이 다른가 — 피해 21.9억 달러의 구조 분석

이번 보고서가 제시하는 가장 혁신적인 분석 틀은 딥페이크 사기를 '기술 문제'가 아닌 '사회·경제적 구조 문제'로 재정의했다는 점입니다. 범죄자들은 각 국가의 금융 문화, 규제 공백, 사회적 신뢰 구조를 정밀하게 파악해 딥페이크를 무기화합니다. 전체 수법 분포를 보면, ① 투자사기(딥페이크 유명인·정부 관리 활용) 11억 3,000만 달러(52%), ② 기업 사칭(CEO·CFO 딥페이크 화상회의) 5억 4,750만 달러(25%), ③ 신원 도용·금융사기 1억 9,700만 달러(9%), ④ 로맨스 사기 1억 5,330만 달러(7%), ⑤ 가족 사칭(손자 사기 등) 1억 3,140만 달러(6%), ⑥ 기타 4,380만 달러(2%)입니다.

전체 손실의 75%가 2024~2025년 2년 사이에 집중돼 있다는 사실이 이 통계에서 가장 충격적인 부분입니다. 2019년부터 2023년까지 5년간 누적 손실은 약 3억 달러 수준이었으나, 2024년 한 해 5억 2,200만 달러, 2025년에는 16억 5,000만 달러로 폭증했습니다. 이 가파른 곡선의 배경에는 두 가지 기술적 사건이 있습니다. 첫째, 2023년 말부터 Midjourney·Stable Diffusion·Kling AI 등 이미지·영상 생성 AI의 품질이 인간 탐지 임계치를 돌파했습니다. 둘째, 2024년 초부터 실시간 딥페이크 화상통화 도구(DeepLiveCam, HeyGen Live, Roop-Unleashed 등)가 소비자 시장에 무료 또는 월 20달러 이하로 유통되기 시작했습니다.

미국 7억1200만 달러 — 투자사기 31%·기업 사칭 43%, 왜 기업이 더 많이 잃나

미국은 총 7억 1,200만 달러로 국가별 최대 피해국입니다. 그러나 미국의 피해 구조는 다른 나라와 근본적으로 다릅니다. 기업 사칭(BEC·딥페이크 화상회의)이 43%로 가장 큰 비중을 차지하고, 투자사기가 31%, 가족 사칭이 17%입니다. 미국에서 기업 사칭 비중이 압도적으로 높은 이유는 ① 화상회의 문화가 전 세계에서 가장 발달해 있어 화상으로 중요 의사결정을 내리는 것이 일상화됐고, ② 대기업·중소기업 할 것 없이 원격 근무 비중이 높아 대면 확인이 어려우며, ③ 기업 임원 정보가 링크드인·유튜브 등 오픈 소스에 풍부하게 공개돼 딥페이크 학습 데이터로 쉽게 수집되기 때문입니다. 건당 피해액도 평균 49만 5,000달러(약 6억 8,000만 원)로, 개인 피해 중심인 다른 국가보다 수십 배 높습니다.

미국 투자사기(31%)의 핵심은 '딥페이크 유명인 투자 광고'입니다. 일론 머스크, 워런 버핏, 제롬 파월 연준 의장 등을 딥페이크로 합성한 영상이 유튜브·틱톡·페이스북에 유료 광고로 게재됩니다. 이들이 '나는 X 암호화폐에 5,000만 달러를 투자했다. 처음 48시간 동안 입금하면 300% 수익 보장'과 같은 내용을 말하는 딥페이크 영상은 수백만 회 조회됩니다. Chainalysis의 2026 암호화폐 범죄 보고서에 따르면, 정부 관리 딥페이크를 사용하는 투자사기는 2025년 한 해에만 1,400% 이상 증가했습니다. 또한 딥페이크 투자사기 플랫폼은 실제처럼 보이는 가짜 수익 대시보드를 제공해 피해자가 출금을 요청할 때까지 의심을 품지 않도록 설계됩니다.

말레이시아 5억200만 달러·홍콩 2억2900만 달러·인도네시아 1억3900만 달러 — 아시아는 왜 투자사기·로맨스 사기의 최대 피해지인가

말레이시아의 피해 구조는 거의 단일 수법입니다. 전체 5억 200만 달러 중 99.7%가 딥페이크 투자사기입니다. 이 극단적 집중의 원인은 말레이시아 금융 환경에 있습니다. 말레이시아는 암호화폐 투자 참여율이 아시아에서 가장 높은 국가 중 하나로, 인구의 12.7%가 암호화폐 자산을 보유합니다. 동시에 금융 규제 기관에 대한 국민 인지도가 낮아 '공식 정부 홍보'처럼 보이는 딥페이크 투자 광고에 취약합니다. 말레이시아 재무부·나지브 전 총리 등을 사칭한 딥페이크 영상이 왓츠앱 그룹을 통해 바이럴로 확산되는 것이 전형적 패턴입니다. 버마(미얀마)·캄보디아 사기 센터에서 말레이시아계 중국인 커뮤니티를 표적으로 삼는 것도 피해 집중 요인입니다. 말레이시아 왕립경찰(PDRM)은 2025년에만 사기 관련 피해 신고가 5만 4,000건을 돌파했다고 밝혔습니다.

홍콩은 총 2억 2,900만 달러로 3위이지만, 로맨스 사기 손실 1억 500만 달러로 '1인당 로맨스 사기 세계 최대 피해 도시'라는 불명예를 안고 있습니다. 인구 740만 명인 홍콩의 로맨스 사기 손실이 3억 3,000만 명의 미국(추산 65억 달러 중 로맨스 비중 7% = 약 4,600만 달러)보다 1인당 기준으로 수십 배 높습니다. 홍콩 딥페이크 로맨스 사기의 구조적 특수성은 세 가지입니다. ① 홍콩 남성 고소득 전문직을 표적으로 삼는 전문화된 사기 조직이 있으며, ② 딥페이크 여성 주인공과 몇 달간 감정적 유대를 형성한 뒤 '가족 위기' 명목으로 수백만 홍콩달러를 요구합니다. ③ 금융 허브로서 홍콩의 높은 1인당 소득이 더 큰 피해액으로 이어집니다. 2024년 초 공개된 '2억 홍콩달러 딥페이크 화상회의 사기'는 기업 사칭 범주지만, 이후 유사 수법이 개인 로맨스 사기에도 적용됐습니다.

인도네시아의 피해 1억 3,900만 달러는 수법 면에서 가장 독특합니다. 전체의 99.4%가 '딥페이크 불법 대출 사기'입니다. 이 수법은 인도네시아 금융당국(OJK) 인증을 받은 합법적인 디지털 대출 앱처럼 보이는 플랫폼에 딥페이크 금융 전문가의 '신뢰 영상'을 붙이는 방식입니다. 피해자는 소액 대출을 신청하며 개인정보·얼굴 사진·가족 연락처를 제공하고, 이후 초고금리와 협박으로 더 많은 돈을 갈취당합니다. 인도네시아는 스마트폰 보급률은 높지만 금융 리터러시가 낮고 공식 금융 서비스 접근성이 떨어지는 '디지털·금융 리터러시 격차(digital-financial literacy gap)' 환경이 이 수법에 최적화돼 있습니다. OJK는 2025년 1~12월에만 1만 5,000개 이상의 불법 대출 플랫폼을 차단했다고 밝혔습니다.

암호화폐 사기 654% 폭증·딥페이크 직원 채용 사기 — 2026년 새롭게 부상하는 위협

2026년 들어 기존 패턴에 더해 두 가지 새로운 위협이 빠르게 성장하고 있습니다. 첫 번째는 암호화폐 딥페이크 사기의 폭발적 증가입니다. Chainalysis의 2026 암호화폐 범죄 보고서에 따르면 딥페이크 기반 암호화폐 투자사기는 2023~2024년 사이 654% 급증했으며, 2025년에는 이 증가세가 더욱 가속됐습니다. '피그 부처링(pig butchering)' 사기의 딥페이크 강화 버전이 대표적입니다. 피그 부처링은 장기간에 걸쳐 신뢰를 쌓은 뒤 암호화폐 투자를 유도해 전 재산을 편취하는 수법인데, 이제 딥페이크 화상통화로 피해자에게 실제 사람처럼 보이는 파트너·전문가를 제시합니다. 기존 텍스트 기반 접근보다 신뢰 형성 속도가 3~5배 빠른 것으로 조사됐습니다. 특히 북한 IT 노동자 문제도 이 범주와 겹칩니다. 미국 FBI는 2026년 1월 딥페이크를 이용해 원격 근무 일자리에 침투한 북한 IT 인력 관련 기업 피해가 미국에서만 연간 수억 달러에 달한다고 발표했습니다.

두 번째 새로운 위협은 '딥페이크 구직자 사기(deepfake job candidate fraud)'입니다. Experian의 2026 사기 예측 보고서는 이를 올해 최대 신흥 위협 중 하나로 명시했습니다. 기업 채용 면접에서 딥페이크로 위조된 신원을 가진 지원자가 채용되면, 이들은 내부 시스템에 접근해 데이터를 유출하거나 랜섬웨어를 심습니다. FBI는 2023~2025년 사이 이런 방식으로 기술 기업에 채용된 북한 IT 인력이 전 세계적으로 4,000명 이상으로 추산된다고 밝혔습니다. Zoom·Microsoft Teams 같은 화상 면접 플랫폼에 딥페이크 피드를 삽입하는 기술이 이미 범죄 포럼에서 유통 중입니다. 미국 기업의 17%가 이미 채용 과정에서 딥페이크 지원자를 경험했다는 설문 결과도 나왔습니다. 이 새로운 위협은 기업 보안 경계를 완전히 재정의하고 있습니다. 더 이상 외부 침입자만이 위협이 아니라, 딥페이크로 가장해 내부에 침투한 '위장 내부자(synthetic insider)'가 최대 위협으로 부상하고 있습니다.

국가별 대응 전략의 분기점 — 같은 위협, 다른 법적 대응의 현재

21.9억 달러의 글로벌 피해에 대한 각국의 법적 대응은 피해 규모만큼 다양합니다. 미국은 2026년 4월 16일 Take It Down Act가 발효됐습니다. 그러나 이 법은 성적 딥페이크 이미지 제거에 집중된 법률로, 금융사기에 직접 적용되지는 않습니다. 금융 딥페이크 사기는 기존 연방 사기죄(18 U.S.C. § 1343)·전신사기죄로 기소되는 경우가 많아, 딥페이크 가중 처벌 조항이 필요하다는 의견이 나옵니다. 영국은 2026년 3월 Crime and Policing Bill에 비동의 딥페이크 생성 자체를 범죄화하는 조항을 포함시켰으나, 금융사기 딥페이크를 별도 규정하지 않았습니다. EU는 AI법 제50조(2026년 8월 발효)로 딥페이크 콘텐츠 레이블링을 의무화하지만, 이 역시 금융사기 딥페이크의 사후 처벌보다 예방에 초점이 맞춰져 있습니다. 한국은 딥페이크 성범죄 처벌에 가장 강력한 법체계를 갖추고 있지만, 딥페이크 금융사기 가중 처벌 조항은 아직 없습니다.

이 보고서가 주는 가장 중요한 정책적 시사점은 '국가별 맞춤형 대응'의 필요성입니다. 말레이시아형 투자사기에는 SNS 플랫폼에 대한 딥페이크 광고 신속 차단 의무, 홍콩형 로맨스 사기에는 디지털 신원 검증 도구 공급, 인도네시아형 불법 대출 사기에는 공식 금융 앱 인증 시스템 강화와 금융 리터러시 교육이 더 효과적입니다. 단일한 글로벌 규제 접근은 국가별 피해 구조의 다양성 앞에서 효과를 잃습니다. 한편 피해자 지원 측면에서도 큰 격차가 존재합니다. 현재 딥페이크 금융사기 피해자가 자금을 되찾을 가능성은 평균 8% 미만입니다. 암호화폐로 이전된 자산의 경우 사실상 회수가 불가능합니다. 전문가들은 딥페이크 금융사기 피해 보상을 위한 국제 공조 기금 설립과 신속 동결·환수 절차의 표준화를 다음 우선 과제로 꼽습니다. 2027년까지 미국의 AI 사기 피해만 400억 달러에 달할 것으로 전망되는 상황에서, 21.9억 달러는 시작에 불과할 수 있습니다.