내 얼굴이 사기꾼 화면에 떴다 — 캄보디아발 '실시간 딥페이크'의 정체

'영상통화로 얼굴을 봤으니 진짜겠지'라는 마지막 보루가 무너지고 있다. 2026년 5월 7일, 미국 탐사 매체 404 Media의 조셉 콕스 기자는 캄보디아의 한 사기 단지에서 쓰이는 실시간 얼굴 바꾸기 소프트웨어를 직접 입수해 자기 노트북에 깔았다. 그리고 마이크로소프트 팀즈로 영상통화를 걸었다. 화면 너머 캄보디아 운영자의 얼굴이 서서히 콕스 자신의 얼굴로 바뀌었다. 다섯 시 무렵의 까칠한 수염, 어색한 미소, 눈 밑의 다크서클까지 그대로였다. 기자는 "맙소사, 맙소사"를 반복했다고 적었다.

이 도구의 이름은 '하오톈(Haotian) AI'다. 중국어로 만들어졌고, 캄보디아에 거점을 둔 중국계 회사가 운영한다. 가격은 1년 1,998달러(약 270만 원), 특정 인물의 얼굴 모델을 따로 만들어 주는 옵션은 498달러. 결제는 추적이 어려운 USDT(트론 네트워크)로 받는다. 암호화폐 분석업체가 추적한 결과 하오톈은 지금까지 최소 390만 달러를 벌어들였고, 그 가운데 상당액이 미국 정부의 제재를 받은 사기 마켓플레이스에서 흘러왔다.

'실시간 딥페이크'가 무엇이 다른가

딥페이크라는 단어 자체는 새롭지 않다. 새로운 건 '실시간'이라는 부분이다. 기존 딥페이크는 영상을 미리 만들어 두는 방식이라 라이브 통화에는 쓸 수 없었다. 하오톈 AI는 다르다. 와츠앱, 줌, 팀즈, 틱톡, 인스타그램, 유튜브 라이브에서 카메라 입력을 가로채 화면에 나가는 영상을 실시간으로 다른 얼굴로 바꿔 버린다. 광대뼈 크기, 눈 위치 등 약 50가지를 사용자가 직접 조정할 수 있어 닮은꼴 인물을 정교하게 모사한다. 보안업체 GetReal Security와의 공동 검증에서는 "기술에 익숙하지 않은 사람도, 평범한 노트북과 공용 와이파이만으로 설치해 돌릴 수 있는 수준"이라는 결론이 나왔다.

더 무서운 건 탐지가 거의 불가능하다는 점이다. 학계에서 1등급으로 평가받는 딥페이크 탐지기조차 하오톈이 만들어낸 영상의 약 100%를 '진짜'로 분류했다. 음성 복제 기능도 따로 광고된다. 누군가의 목소리 샘플만 있으면 실시간 통화에서 그 사람으로 말할 수 있고, 남성 목소리를 여성으로, 그 반대로도 바꾼다.

'피그 부처링'의 마지막 한 수

이 도구의 주된 시장은 동남아시아의 '피그 부처링(pig butchering, 돼지 도살)' 사기 단지다. 사기범이 SNS나 데이팅 앱에서 피해자에게 접근해 몇 주, 몇 달간 친밀한 관계를 쌓은 뒤 가짜 코인 투자나 송금으로 돈을 뜯어내는 수법이다. 그동안은 "영상통화를 한 번 하자"는 피해자의 요청이 사기단의 가장 큰 약점이었다. 하오톈 같은 도구가 그 약점을 지웠다.

피해 규모는 이미 가파르다. 2025년 10월 한국 경찰은 캄보디아를 거점으로 활동하던 한국인 커플을 검거했다. 이들은 딥페이크 영상통화로 100여 명을 속여 88억 원 상당을 가로챘다. 미국 코네티컷주에서는 한 여성이 같은 수법에 수개월간 속아 약 100만 달러(약 13억 원)를 잃었다.

"실시간 딥페이크 소프트웨어가 사기 단지로 흘러 들어간 게 우연일 리 없다. 운영자와 함께, 알면서도 눈감은 회사들도 법정에 세워야 한다."
— 에린 웨스트, 전직 검사이자 사기 대응 단체 'Operation Shamrock' 대표

404 Media와 같은 시기 보도를 준비하던 Wired 역시 별도 취재로 같은 도구를 추적했다. Wired 기자 제이 이 양이 텔레그램 측에 문제를 제기하자, 하오톈이 운영하던 메인 텔레그램 채널과 관련 계정 다수가 그날 갑자기 사라졌다. 다만 텔레그램은 자사 조치였는지 사기단의 자체 잠적이었는지 답하지 않았다.

'영상통화 = 진짜'라는 상식이 흔들린다

지금까지 우리가 의심스러운 상대를 가려내는 기준은 단순했다. "오늘 신문 들고 셀카 한 장만 보내달라"거나, "잠깐만 영상통화하자"는 한 마디였다. 두 가지 모두 2026년에는 더 이상 안전장치가 아니다. 생성형 AI는 어떤 배경, 어떤 신문, 어떤 자세의 사진도 즉석에서 만들어 낸다. 실시간 딥페이크는 화상 너머의 얼굴마저 가짜로 만든다.

업계도 뒤늦게 움직이기 시작했다. 줌은 2026년 하반기 안에 통화 중 합성된 음성·영상을 실시간으로 경고해 주는 기능을 정식 탑재하겠다고 밝혔고, GetReal 같은 보안업체들은 기업 회의용 딥페이크 탐지 솔루션을 잇따라 출시하고 있다. 한국 역시 보이스피싱과 결합한 '얼굴 피싱' 사례가 늘면서 통신사·금융권의 탐지 시스템 도입 논의가 빨라지는 흐름이다.

그럼에도 빈틈은 한동안 메워지지 않을 가능성이 크다. 하오톈 한 곳을 막아도, 같은 형태의 도구들이 줄을 잇는다. 404 Media가 같은 보도에서 함께 언급한 경쟁 제품만 해도 판다 AI(Panda AI), 샤오미 테크놀로지 AI, 아크 테크놀로지 AI 등 최소 세 개다. 비밀번호와 OTP를 지키는 것만으로는 부족한 시대다. 가족, 상사, 연인이 영상통화로 "급하니 돈을 좀 보내달라"고 할 때 한 번 더 의심해야 하는 시대 — 어쩌면 지금이 그 분기점이다.