딥페이크로 330억 훔쳤다. 범인은 아직 못 잡았다.

2024년 1월, 영국 엔지니어링 회사 Arup의 홍콩 지사 직원이 화상회의 초대를 받았다.

회의에는 영국 본사의 CFO와 여러 임원이 참석해 있었다. CFO가 긴급 자금 이체를 요청했다. 직원은 확인 절차를 거쳤다. 화면 속 얼굴을 알아봤고, 목소리도 맞았다.

그 화면 속 사람들은 전부 딥페이크였다. (CNN Business)

15번의 이체가 이뤄졌다. 하루 만에. 총 2,560만 달러, 약 330억 원이 빠져나갔다. (Fortune)

2026년 6월 현재, 범인은 아직 잡히지 않았다. 돈도 돌아오지 않았다. (Purple Sec)

유명인 얼굴을 빌리면

기업만 당하는 게 아니다.

2024년, 캐나다 여성 한 명이 페이스북에서 일론 머스크가 등장하는 영상을 봤다. 머스크가 특정 투자 플랫폼을 추천했다. 영상은 정교했다. 그녀는 돈을 넣었다. 총 170만 달러, 약 22억 원을 잃었다. 영상 속 머스크는 딥페이크였다.

같은 시기, 테일러 스위프트 딥페이크는 소셜미디어에서 주방용품 무료 증정 사기에 쓰였다. (Norton)

딥페이크 유명인 투자 광고의 구조는 단순하다. 신뢰할 수 있는 얼굴을 빌린다. 그 얼굴이 돈을 내라고 한다. 피해자는 얼굴을 믿는다.

신뢰를 얼굴에서 빌리는 순간, 범죄가 시작된다.

법이 따라오고 있다

오랫동안 딥페이크는 법의 공백 지대였다. 만드는 것도, 유포하는 것도 명확한 처벌 규정이 없었다.

그 공백이 빠르게 메워지고 있다.

2025년 5월 19일, 미국에서 TAKE IT DOWN Act가 서명됐다. 딥페이크를 명시적으로 범죄로 규정한 첫 번째 연방법이다. 동의 없이 딥페이크 이미지를 게시하면 최대 2~3년의 연방 징역형에 처할 수 있다. (Congress.gov)

2026년 4월, 오하이오주의 제임스 스트랠러 2세(James Strahler II)가 이 법에 따라 첫 번째로 유죄 판결을 받았다. (NBC News)

한국에서는 2025년 12월, 걸그룹 LE SSERAFIM 멤버의 딥페이크 영상을 제작·유포한 사람에게 징역형이 선고됐다. (allkpop)

투자 사기 쪽도 마찬가지다. 암호화폐 기반 딥페이크 투자 사기에 가담한 다렌 리(Daren Li)는 2025년 $7,300만 달러(약 1,100억 원) 사기 혐의로 20년형을 선고받았다. 이후 전자 발찌를 끊고 도주 중이지만, 형량 자체는 확정됐다. (DOJ)

왜 아직 많이 안 잡혔을까

Arup 사건 범인이 아직 자유로운 이유는 단순하다.

딥페이크 사기는 국경을 넘어 이뤄진다. 피해는 홍콩에서, 범인은 다른 나라에서, 돈은 암호화폐로 세탁된다. 수사 관할이 복잡하고, 추적에 시간이 걸린다.

하지만 추적 기술도 발전하고 있다. 블록체인 분석 도구는 암호화폐 이동 경로를 점점 더 정밀하게 추적한다. 딥페이크 탐지 기술도 함께 발전하고 있다. 범행 당시에는 완벽해 보였던 딥페이크가, 나중에 분석하면 흔적이 남는다.

지금 안 잡혔다는 건 지금 수사 중이라는 뜻이기도 하다.

세 편을 관통하는 하나의 패턴

이 시리즈에서 살펴본 사례들은 유형이 달랐다. AI 음악 공장, 가짜 AI 강사, 딥페이크 사기단.

그런데 공통점이 하나 있었다.

AI가 실행 속도를 높여줬다. 더 많이, 더 빠르게, 더 정교하게 속일 수 있게 됐다.

하지만 속임수의 크기가 커질수록, 피해의 크기도 커졌다. 피해가 클수록, 수사의 강도도 세졌다. 법도 빠르게 따라왔다.

AI는 범죄의 속도를 높여줬지만, 처벌의 속도도 같이 높이고 있다.

남은 질문

Arup 사건 범인은 아직 도주 중이다. 1,100억 원 사기범은 전자 발찌를 끊고 사라졌다.

그런데 그들이 그 돈으로 편하게 살고 있을지는 모른다.

추적당하면서 사는 삶이 어떤 것인지, 딥페이크로 얻은 330억이 얼마나 오래 그 사람 곁에 있을지는, 아직 결론이 나지 않은 이야기다.

FAQ