딥페이크 공격에 대한 국제 출입국 보안 협정, 어디까지 준비됐나?

딥페이크(Deepfake)는 단순한 영상 위조 기술을 넘어
국가의 보안 체계에 직접적인 위협이 되는 수준으로 진화하고 있다.
고도화된 AI 모델은 사람의 얼굴, 음성, 행동을 정교하게 복제하며,
심지어 실시간 인터랙션까지 가능한 ‘가짜 사람’을 만들어낼 수 있다고 한다.
이러한 기술이 악의적으로 사용될 경우,
공항의 자동입국 시스템은 위조된 얼굴·음성·행동을 실제 사람으로 인식할 가능성이 커지며
국경 보안이 뚫리는 결과로 이어질 수 있다.

2024년 이후 세계 여러 국가에서
딥페이크 기술을 악용한 위조 신원 시도,
입국 심사 우회, 사칭 및 테러 시도 정황이 보고되었고,
이에 따라 국제 사회는 AI 기반 위협에 공동 대응해야 한다는 압박을 받고 있다.
특히 ICAO(국제민간항공기구), IATA(국제항공운송협회), EU, 미국 DHS(국토안보부) 등은
딥페이크에 대응하기 위한 공동 보안 기준, 인증 체계, 정보 공유 시스템 구축을
점진적으로 추진하고 있다.

하지만 현재까지의 대응은 대부분
국가 단위 또는 개별 공항 단위에 머무르고 있는 수준이며,
글로벌 차원의 통합된 협정이나 법제화는 아직도 걸음마 단계에 불과하다.

이 글에서는
- 딥페이크 위협이 국제 입국 심사 시스템에 어떤 문제를 유발하는지,
- 현재 국제기구 및 주요 국가들이 어떤 대응을 시도하고 있는지,
- 협정 수준에서의 한계와 정책 공백,
- 향후 국제 보안 협력의 방향성
을 4가지 측면에서 구체적으로 살펴본다.

 

딥페이크, 국제 입국 보안 시스템을 어떻게 위협하고 있나?

딥페이크 기술은 단순히 영상 위조를 넘어
국가 경계 시스템에 직접 침투할 수 있는 수준으로 발전하고 있다.
얼굴 인식, 음성 인증, 행동 기반 패턴 분석 등
공항의 자동입국 시스템이 사용하는 대부분의 인증 기술은
사람 고유의 생체적 특성을 전제로 설계되어 있다.

그러나 최신 딥페이크는
이 생체 특성을 정교하게 모사가 가능하다. 요즘 영상 플랫폼에서 흔히 확인할 수 있는 부분이다.
특히 고화질 얼굴 영상과 음성 데이터를 수집하면
특정 인물의 얼굴과 목소리를 실시간으로 합성해
입국 시스템 앞에서 ‘그 사람처럼 행동하는 가짜 인물’을 만들 수 있다.
이것이 가능해지면, 실제로 존재하지 않는 인물이
다른 사람의 정체성을 사칭해 입국하는 것도 이론적으로 가능한 시점에 도달하게 된다.

문제는 이러한 기술이 더 이상 제한된 해커 집단이나 군사기술이 아니라는 것이다.
딥페이크 생성 도구는 오픈소스로 배포되고 있으며,
수백만 명이 접근 가능한 플랫폼을 통해
고품질 위조물이 만들어지고 있다.
AI 기술의 상용화는 곧 국경 위조의 대중화로 이어질 수 있는 위험을 내포한다.

국가 간 정보 공유가 원활하지 않은 경우,
A국에서 위조된 생체정보를 바탕으로 입국이 시도되고
B국에서는 해당 정보가 실제로 등록된 것처럼 처리되어
국제 보안 체계 전체가 혼선을 겪게 될 수 있다.

즉, 딥페이크는 국가 내부 보안만으로는 대응이 불가능한 위협이며,
국경을 넘어선 보안 체계와 인증 기준, 데이터 검증이 필요하다는 사실을 강력히 시사하고 있다.

 

현재 국제기구 및 주요 국가들의 대응 현황

딥페이크 위협에 대한 인식은 이미 여러 국제기구에서 공유되고 있다.
ICAO(국제민간항공기구)는
2023년부터 생체정보 기반 출입국 시스템의 안전성을 주제로 한
정기 기술 협의체를 구성했으며,
딥페이크 위조 시도에 대응하기 위한 기술 가이드라인 개발을 시작했다.

ICAO는 특히 ePassport(전자여권) 생체정보의 국제적 검증 표준 강화를 추진 중이며,
공항 간 생체정보 교환 시 위조 가능성을 최소화하기 위해
AI 기반 위조 판별 기술의 공유를 회원국에 권고하고 있다.

EU(유럽연합)는 2024년부터
ETIAS(유럽 여행 정보 및 인증 시스템) 내
딥페이크 탐지 알고리즘을 도입하기 위한 시범 프로젝트를 시작했으며,
사이버보안 위원회를 통해
AI를 이용한 국경 위조 위협을 공식 규제 목록에 포함시켰다.

미국 국토안보부(DHS)는
얼굴 인식 기술의 안전성을 강화하기 위해
딥페이크 탐지 AI 연구에 예산을 집중하고 있으며,
자동입국 시스템(Automated Passport Control, APC)에
라이브니스 감지 및 행동 기반 위조 판별 기능을 통합하고 있다.

IATA(국제항공운송협회) 또한
딥페이크 위협으로 인한 항공보안 리스크에 대해
항공사 및 공항 운영자 간 기술 표준 및 정보 공유 가이드라인을
연차 총회를 통해 논의하고 있다.

그러나 이 모든 노력은 아직 권고 수준 또는 시범 운영 단계에 머물러 있으며,
국제적으로 강제력 있는 협정이나
법적 의무가 수반된 체계는 마련되지 않은 상태다.

 

국제 협정의 한계: 왜 체계화되지 못하고 있나?

딥페이크에 대응하는 국제 보안 협정이
아직 본격적으로 체결되지 못하는 이유는 다음과 같다.

첫째, 기술 격차와 인식 차이다.
딥페이크 위협에 대한 인식과 대응 수준은 국가별로 큰 차이를 보인다.
일부 국가는 아직도 딥페이크를 ‘사이버 범죄’ 수준의 문제로 간주하며,
공항 자동입국 시스템과 직접 연결된 물리적 보안 위협으로 인식하지 못하는 경우가 대부분이기에

국가적 대응수준이 평균적으로 올라올려면 시간이 걸릴것으로 추측되어진다.

둘째, 데이터 공유의 민감성이다.
국가 간 생체정보 공유는
정보보호, 개인정보, 주권 문제 등 복잡한 법적·윤리적 논쟁을 수반한다.
딥페이크 위조를 방지하려면
출입국 생체정보의 정합성과 진위 여부를 국제적으로 검증해야 하지만,
이는 각국의 법제도와 정면 충돌할 수 있다.

셋째, 국제기구의 조정 한계다.
ICAO나 IATA는 항공 보안의 기준을 제시하는 역할을 하지만,
강제적 법적 구속력은 없다.
회원국이 이를 채택하지 않거나
자국 입법과 조율하지 않을 경우,
실질적인 보안 기준이 되기 어렵다.

넷째, 정치적 의도와 전략적 이견이다.
일부 국가는 딥페이크 기술을
정보전이나 외교적 전략으로 활용하려는 시도가 존재하며,
이로 인해 협정 참여 자체를 꺼리는 경우도 있다.

결국 국제 협정의 공백은
기술적 대응이 가능한 국가와 그렇지 못한 국가 간의
보안 격차를 더 심화시키며,
그 틈을 노리는 범죄 조직이나 위조 세력에게
새로운 공격 루트를 제공하게 된다.

 

향후 국제 보안 협력, 어떻게 설계되어야 하는가? 

딥페이크에 대응하기 위한 국제 보안 협정은
단순한 기술 기준을 넘어
제도, 책임, 신뢰, 주권 보장이라는 다양한 요소를 고려해 설계되어야 한다.

첫째, 생체정보의 국제 신뢰 인증 체계(Global Trust Framework)가 필요하다.
예를 들어, ICAO나 UN 산하에
국가 간 생체정보 인증을 검증하는 ‘중립 기구’를 설치하고,
해당 기구를 통해 위조 여부, 발급 내역, 수정 이력 등을 확인하는 체계를 마련할 수 있다.

둘째, 라이브니스 감지와 위조 탐지 알고리즘을 표준화하여
모든 자동입국 시스템에 필수 적용되도록 유도해야 한다.
이를 위해서는 각국 정부와 AI 기업, 공항 운영자가 함께 참여하는
공동 R&D와 프로토콜 개발이 필요하다.

셋째, 정보 공유는 ‘개인 식별 최소화’ 원칙 아래 설계되어야 한다.
사용자의 전체 생체정보가 공유되는 것이 아니라,
해당 정보의 진위 여부만 확인 가능한 형태로 제한적 접근이 보장되어야
국가 간 신뢰와 개인정보 보호를 동시에 달성할 수 있다.

넷째, 국제 조약 수준의 구속력 있는 협정이 필요하다.
ICAO나 WTO, UN 차원에서
‘딥페이크 위협에 대응하는 생체 인증 국제 조약’을 체결하고,
가입국에 대해 일정 수준의 기술 도입과 정보 공개를 의무화하는 구조가 바람직하다.

마지막으로, 사용자 입장에서
자신의 정보가 국제적으로 어떻게 쓰이는지에 대한 투명한 설명과 동의가 포함되어야
기술 발전과 인권 보호가 충돌하지 않고
지속 가능한 글로벌 보안 체계가 완성될 수 있다.