인공지능(AI) 기술의 발전은 채용 시장에 지각변동을 일으키고 있습니다.
이제는 단순히 이력서를 다듬는 것을 넘어, AI를 이용해 지원자의 자격, 기술, 경험까지 조작하는 수준에 이르렀습니다.
이는 단순한 ‘나쁜 채용’을 넘어 기업의 존폐를 위협하는 심각한 비즈니스 위협으로 부상하고 있습니다.
AI의 등장, 채용 시장의 새로운 위협
최근 몇 년간 원격 근무의 확산과 함께 AI 기술은 채용 과정에 깊숙이 침투했습니다.
합법적인 지원자들은 AI 도구를 활용하여 자신을 더 효과적으로 어필하지만, 악의적인 지원자들은 AI를 이용해 자신의 정보를 조작하고 신분을 위장합니다.
특히 국가 차원에서 지원받는 위협 행위자들은 딥페이크(Deepfake)와 합성 신원(Synthetic Identity)을 이용해 채용 사기를 대규모로 확대하고 기존의 심사 시스템을 우회하려 합니다.
Experian의 ‘2026 Future of Fraud Forecast’ 보고서에 따르면, 딥페이크는 HR 부서를 속이는 데 가장 큰 위협 중 하나로 꼽혔습니다.
생성형 AI는 현실감 넘치는 이력서와 실시간 면접이 가능한 딥페이크 지원자를 만들어내며, 이로 인해 고용주는 자신도 모르는 사이에 가짜 인물을 대규모로 채용할 위험에 처해 있습니다.
이는 민감한 시스템에 대한 접근 권한을 악당들에게 넘겨주는 것과 같습니다.
AI 사기꾼의 무기: 딥페이크와 합성 신원
AI 사기꾼들이 사용하는 주요 무기는 ‘딥페이크’와 ‘합성 신원’입니다.
딥페이크는 ‘딥러닝’과 ‘가짜(fake)’의 합성어로, AI를 이용해 특정 인물, 사물, 환경의 외형이나 목소리를 조작하는 기술입니다.
얼굴 바꾸기, 얼굴 재연기, 가상 인물 생성, 음성 합성, 음성 복제 등 다양한 형태로 나타납니다.
2025년부터 급격히 발전한 생성형 AI 덕분에 누구나 더욱 현실적이고 탐지하기 어려운 딥페이크를 만들 수 있게 되었습니다.
합성 신원은 실제 정보와 가짜 정보를 조합하여 만들어낸 조작되거나 완전히 새로 만들어진 신원입니다.
연방준비제도(Federal Reserve)는 이를 ‘개인 식별 정보(PII)를 조합하여 개인이나 단체를 조작하고, 이를 통해 개인적 또는 금전적 이득을 얻으려는 부정 행위’로 정의합니다.
이름, 생년월일, 사회보장번호 등 고유 식별 정보와 주소, 전화번호, 이메일, 디지털 발자국과 같은 보조 정보들을 교묘하게 조합하여 신뢰도를 높입니다.
AI 지원자는 훔치거나 구매한 신원, 혹은 완전히 합성된 신원에 AI로 생성된 가짜 정보(가짜 LinkedIn 프로필, 허위 경력, 그럴듯한 자기소개서 등)를 더합니다.
원격 면접이나 온보딩 과정에서는 딥페이크 영상과 음성을 사용하여 합성 신원에 생명을 불어넣습니다.
정보 보안 기업 Pindrop의 CEO는 “생성형 AI가 인간과 기계의 경계를 모호하게 만들었다”고 지적합니다.
북한의 IT 노동자 사기, 국가 안보 위협으로
원격 근무는 AI 지원자들에게 ‘열린 문’이 되었습니다.
Gartner는 2028년까지 전 세계 지원자의 4분의 1이 AI에 의해 생성된 가짜 지원자일 것으로 예측합니다.
Pindrop은 ‘Ivan X’라는 가명으로 지원한 러시아 코더 출신 딥페이크 지원자를 적발한 사례를 공개했습니다.
그는 서류상으로는 자격을 갖췄지만, 화상 면접에서 얼굴 표정과 목소리가 불일치하고 돌발 질문에 부자연스럽게 반응하는 등 여러 수상한 징후를 보였습니다.
그는 8일 후 동일한 지원 방식을 사용해 다시 지원했으나, 이번에는 이전과 다른 외모의 딥페이크로 나타나 해당 기업의 사람들을 놀라게 했습니다.
이는 악의적인 행위자들이 기술을 얼마나 빠르게 발전시키는지 보여줍니다.
더욱 심각한 문제는 북한의 원격 IT 노동자 사기입니다.
북한 정권이 지시하는 이 사기 행각은 숙련된 IT 노동자들이 해외에서 위조된 신분으로 원격 근무하며 기업에 침투하는 수년간의 캠페인입니다.
이들은 고용된 후 급여와 계약금을 북한 정권에 송금하고, 민감한 데이터를 훔치며, 경우에 따라서는 시스템을 마비시키겠다고 협박하여 추가 금전을 갈취합니다.
이러한 행위는 핵무기 프로그램 등 제재 대상 무기 프로그램을 직접적으로 자금 지원하는 것으로 간주됩니다.
유엔은 이러한 북한의 IT 노동자 사기 행각으로 인해 연간 2억 5천만 달러에서 6억 달러에 달하는 막대한 자금이 조성되고 있으며, 이 중 일부는 미국 기업으로부터 나오고 있다고 추정합니다.
기업의 대응과 미래 전망
미국 정부는 2022년부터 북한 정권과 연계된 IT 노동자들이 위조 신분으로 원격직에 침투하여 급여를 북한으로 송금하는 사례를 경고해왔습니다.
국무부, 재무부, FBI는 기업들에게 잘못된 연락처 정보, 회사 지급 장비의 주소 불일치, 위조된 신분증 등을 ‘적색 경보(red flag)’ 지표로 제시했습니다.
FBI는 2023년 10월, 이미 북한 IT 노동자를 고용한 기업들을 위한 후속 지침을 발표하며, 이들이 무기 프로그램을 자금 지원하고 있음을 재차 강조했습니다.
이러한 위협은 기업들이 신원 확인 및 의도 검증 방식을 근본적으로 재검토하도록 만들 것입니다.
단순한 서류 검토를 넘어, AI 탐지 기술, 생체 인증, 다단계 인증 등 더욱 강력하고 정교한 보안 시스템 구축이 필수적입니다.
또한, 직원 교육을 강화하여 잠재적인 사기 징후를 인지하고 보고하는 문화를 조성해야 합니다.
AI 기반의 가짜 지원자 문제는 단순한 채용의 어려움을 넘어, 기업의 정보 보안, 재정적 손실, 심지어는 국가 안보에까지 영향을 미치는 복합적인 위협입니다.
기업들은 이러한 새로운 위협에 대한 경각심을 높이고, 선제적인 방어 전략을 수립해야 할 것입니다.
자주 묻는 질문 (FAQ)
Q: 딥페이크와 합성 신원은 어떻게 다른가요?
A: 딥페이크는 AI를 이용해 영상이나 음성을 조작하는 기술이며, 합성 신원은 실제와 가짜 정보를 조합하여 만들어낸 가상의 신분입니다.
이 둘이 결합될 때 가장 강력한 사기 수단이 됩니다.
Q: 북한의 IT 노동자 사기가 왜 국가 안보에 위협이 되나요?
A: 이들이 벌어들인 자금이 북한의 핵무기 및 미사일 프로그램과 같은 금지된 무기 개발에 사용되기 때문입니다.
이는 국제 사회의 제재를 위반하는 행위이기도 합니다.
Q: 기업들은 AI 기반 가짜 지원자를 어떻게 막을 수 있나요?
A: AI 탐지 도구 도입, 생체 인증 및 다단계 인증 강화, 직원 교육을 통한 사기 징후 인지 능력 향상 등이 필요합니다.
단순 서류 검토를 넘어선 다각적인 검증 시스템 구축이 중요합니다.
Q: 2028년까지 지원자의 4분의 1이 가짜일 것이라는 예측은 무엇을 의미하나요?
A: 이는 AI 기술 발전 속도가 매우 빠르며, 향후 기업 채용 과정에서 AI로 인해 발생하는 신원 위변조 문제가 더욱 심각해질 것임을 시사합니다.
기업들은 이에 대비해야 합니다.
출처: https://nysba.org/addressing-the-threat-of-fake-job-candidates/