딥페이크, 이제 남의 일이 아니다
딥페이크, 이제 남의 일이 아니다
2월 23일, 52개국 61개 개인정보 감독기구가 동시에 하나의 선언문에 서명했다. 국제 개인정보 감독기구 협의체(GPA)가 채택한 「인공지능 생성 콘텐츠와 개인정보 보호에 관한 공동선언문」이다. 한국 개인정보보호위원회도 서명에 참여했다.
52개국이 동시에 움직인다는 건, 그만큼 상황이 급하다는 뜻이다. 그리고 이번 선언의 직접적 계기가 된 건 xAI의 Grok이다.
Grok이 터뜨린 것
2025년 12월 말, Grok의 이미지 편집 기능이 X(구 트위터)와 연동됐다. 머스크가 직접 "한번 써보라"고 홍보했다. 문제는 곧바로 터졌다. 사용자들이 실존 인물 사진을 올리고 옷을 벗기는 프롬프트를 입력하기 시작한 것이다.
9일 동안 Grok이 X에서 생성한 이미지는 약 440만 건. 그 중 거의 절반이 여성을 성적으로 묘사한 콘텐츠였다는 보도가 나왔다. 아동을 대상으로 한 이미지까지 포함됐다. Grok은 'xxxAI'라는 별명까지 붙었다.
xAI가 뒤늦게 유료 구독자 전용으로 기능을 제한했지만, EU는 근본적 해결이 아니라고 비판했고, 영국은 규제 강화를 예고했다. 인도네시아는 세계 최초로 Grok 서비스 자체를 차단했다. 미국 캘리포니아 검찰과 35개 주 검찰총장이 조사에 착수했고, 하원 민주당 의원들도 머스크에게 서한을 보냈다.
이 상황이 GPA 공동선언의 직접적인 배경이다. 9일 만에 440만 건이라는 숫자를 보면 안전장치 없는 AI 서비스가 얼마나 빨리 문제를 만드는지 실감하게 된다.
한국은 이미 겪었다
사실 한국에서 딥페이크 성범죄는 새로운 이야기가 아니다. Grok보다 훨씬 전부터, 더 조직적으로 벌어져 왔다.
2024년 8월, 텔레그램 기반 딥페이크 성범죄가 대규모로 드러났다. MBC 보도로 인하대 사건이 알려진 게 시작이었다. 참가자 1,200명이 넘는 텔레그램 방에서 여학생들의 얼굴을 합성한 성착취물이 수년간 제작·유포되고 있었다. 피해자가 이 사실을 알게 되자 오히려 가해자들이 피해자를 조롱하고 협박까지 했다.
이건 한 대학만의 문제가 아니었다. SNS에 공유된 '딥페이크 피해학교 명단'에는 전국 중·고등학교와 대학교 500곳 이상이 올라왔다. 피해자 지원 요청 781명 중 37%가 미성년자였다. 여군을 대상으로 한 딥페이크 방도 발견됐고, 가족 구성원을 대상으로 한 성착취물이 유통되는 방에는 1,900명이 넘게 참여하고 있었다.
가해 방식도 정교했다. '겹지인방'이라는 이름으로 서로 아는 여성의 정보를 공유하고, SNS에서 셀카를 수집해 AI로 합성하는 구조였다. 기술 장벽이 낮아지면서 10대 가해자 비율이 압도적으로 높다는 게 이 범죄의 특징이다.
경찰청 국가수사본부의 2025년 집중단속 결과를 보면, 1년간 딥페이크 성범죄 1,827건이 발생해 1,438명이 검거됐다. 피의자의 61.8%가 10대, 30.2%가 20대였다. 10명 중 9명이 10~20대라는 뜻이다.
공동선언의 4대 원칙
선언문의 4가지 원칙은 결국 Grok 사태와 한국 텔레그램 사건이 공통으로 드러낸 구멍을 겨냥한다. 하나씩 보면 다 이유가 있다.
안전조치: 개인정보 오남용 및 동의 없는 성적 콘텐츠 생성을 방지할 수 있는 기술적·관리적 조치를 이행해야 한다. Grok의 경우 최소한의 가드레일만 두고 출시했다가 사고가 터졌다. 안전조치 없는 AI 서비스가 어떤 결과를 만드는지 보여준 사례다.
투명성: AI 시스템의 이용 가능 범위에 대한 정보를 투명하게 제공해야 한다. 이용자가 무엇을 만들 수 있고 없는지, 생성된 콘텐츠가 AI에 의한 것인지 알 수 있어야 한다.
구제 절차: 신속한 신고와 삭제를 위한 효과적인 절차를 마련해야 한다. 텔레그램 사건에서 가장 큰 문제 중 하나가 삭제와 수사의 어려움이었다. 해외 서버, 암호화 통신, 증거 인멸 — 피해자는 영상이 어디까지 퍼졌는지조차 알 수 없는 상황이었다.
아동·청소년 보호: 연령에 적합한 정보 제공과 강화된 보호조치를 이행해야 한다. 한국 딥페이크 범죄에서 피해자의 37%가 미성년자였고, 가해자의 62%도 10대였다는 사실은 이 원칙이 왜 별도로 명시돼야 했는지를 설명한다.
컨설턴트 시선에서
개인정보보호 컨설팅을 하다 보면, 대부분의 기업이 "우리 서비스에서 그런 일은 안 일어난다"고 생각한다. 딥페이크 문제를 플랫폼 사업자나 AI 개발사만의 이슈로 보는 시각이 많다.
그런데 ISMS-P 인증 기준에서 보면, AI 기능을 탑재한 서비스를 운영하는 기업이라면 이 선언의 원칙들이 전부 점검 대상이 될 수 있다. 이용자가 업로드한 이미지를 처리하는 AI가 있다면 안전조치가 필요하고, AI 생성 콘텐츠에 대한 고지 절차가 있어야 하고, 유해 콘텐츠 신고·삭제 체계가 갖춰져야 한다.
이번 공동선언은 아직 구속력 있는 규제는 아니다. 하지만 52개국이 동시에 방향을 정했다는 건, 각국 입법이 이 방향으로 움직인다는 신호다. 한국은 이미 2024년 성폭력처벌법 개정으로 딥페이크 단순 소지·시청까지 처벌 대상으로 확대했고, 경찰의 위장수사 범위도 성인 피해자까지 넓혔다.
기업 입장에서는 "AI 기능이 오남용될 가능성이 있는가"를 지금부터 점검해야 한다. Grok이 보여줬듯이, 사고가 터진 뒤에 대응하면 글로벌 규제 조사와 서비스 차단이라는 최악의 결과가 기다리고 있다.
출처