생성형 AI로 만든 ‘가짜 직원’의 습격

면접도 신원도 조작…생성형 AI로 만든 ‘가짜 직원’의 습격

생성형 AI가 구직자 사이에서 가짜 이력서 작성, 면접, 심지어 신원 위조에 사용되면서 전 세계적으로 채용 사기가 급증하고 있다. 이로 인해 기업은 수백만 달러의 손실을 입고 있으며, 지원자 채용에 더 큰 어려움을 겪고 있다.

Credit: Shutterstock/Collagery

많은 구직자가 오픈AI의 챗GPT와 같은 생성형 AI 도구를 사용해 이력서, 자기소개서, 심지어 면접 답변을 미화하거나 과장하고, 아예 조작까지 하고 있다.

미국 캘리포니아에 본사를 둔 비즈니스 프로세스 아웃소싱(BPO) 기업 하이어드서포트(HiredSupport) 대표 조엘 울프는 “기술직 채용 과정에서 이런 사례를 특히 많이 보고 있다. 문장 구조나 유행어의 과도한 사용 때문에 생성형 AI의 활용 여부가 금세 드러난다”라고 말했다. 하이어드서포트는 이커머스, SaaS, 헬스케어, 핀테크 분야를 포함해 전 세계 100곳 이상의 기업 고객을 보유하고 있다.

울프는 링크드인에서 이 주제에 대해 의견을 밝히며, “AI로 가공된 이력서는 거의 모든 직무에서 나타나고 있지만, 특히 지나치게 과장된 개발자 포지션에서 가장 눈에 띈다”라고 지적했다.

 

HR 기술 솔루션 업체 피놈(Phenom)의 글로벌 전략 부사장인 클리프 유르키위츠 역시 채용 지원 및 면접 과정에서의 사기 행위가 증가하고 있다며 “이런 현상은 예전부터 일부 확인됐지만, 최근 들어 훨씬 더 많이 포착되고 있다”라고 말했다.

실시간으로 진행되는 원격 면접이나 녹화된 화상 면접 중에 챗GPT 같은 도구를 활용하는 경우도 있다. 일부는 AI 비서가 띄운 두 번째 화면의 답변을 그대로 읽기도 한다. 어떤 경우에는 실제 지원자가 아닌, 더 높은 역량을 갖춘 대리인이 대신 면접을 보는 사례도 있다.

이런 일은 전 세계 여러 산업에서 벌어지고 있다. 그 목적은 더 유능한 사람이 면접을 통과하게 한 뒤 실제 업무는 다른 사람이 맡도록 하기 위한 것이다. 피놈 고객사들에 따르면 전체 면접 중 10~30% 정도, 특히 엔지니어링과 같은 직무에서는 일정 수준의 사기가 개입돼 있다”라고 언급했다.

 

유용한 툴이 사기꾼에게는 무기로

영국의 이력서 작성 서비스 업체 스탠드아웃 CV(StandOut CV)가 2023년 실시한 설문조사에 따르면, 미국 노동자의 73%가 이력서를 꾸미거나 거짓 정보를 기입하는 데 AI를 활용할 의향이 있다고 답했다. 이 조사는 생성형 AI 도구가 지금처럼 널리 퍼지기 이전의 결과다. 또한 응답자 약 2/3(64.2%)는 이력서에 거짓 정보를 쓴 적이 있다고 답했으며, 5명 중 1명은 이력서에 거짓 정보를 기입하고도 들키지 않았다고 응답했다.

이력서 작성 서비스 레주메 빌더(Resume Builder)가 실시한 또 다른 설문조사에서는, 응답자 45%가 채용 과정에서 AI 도구를 활용해 자신의 역량을 과장했다고 답했다. 이 중 32%는 이력서에 기술을 허위로 기재했고, 30%는 면접 과정에서 거짓말을 했다고 밝혔다.

채용 담당자들은 대체로 지원자가 생성형 AI 도구를 활용해 이력서를 작성하는 것을 큰 문제로 여기지 않는다. 단, 그 내용이 실제 역량과 경력을 정확하게 반영한다는 전제하에서다. 온라인 구인 플랫폼 집리크루터(ZipRecruiter)가 발표한 ‘2024년 4분기 고용주 보고서(Q4 2024 Employer Report)’에 따르면, 설문에 참여한 800명의 고용주 가운데 67%가 지원자가 이력서, 자기소개서, 지원서 작성에 생성형 AI를 활용하는 것에 긍정적인 입장을 보였다.

하지만 기업은 AI를 이용해 신분증, 이력서, 면접 답변 등을 위조하는 가짜 구직자로 인해 점점 더 큰 위협에 직면하고 있다. 가트너는 2028년까지 전체 구직자의 1/4이 가짜 지원자가 될 수 있다고 경고했다. 가짜 지원자가 채용되면 내부 데이터를 탈취하거나 자금을 빼돌리고 랜섬웨어를 설치하는 등의 피해로 이어질 수 있다.

대표적 사례로 최근 북한 IT 인력들이 가짜 이력서를 대거 제출하며 기술 기업에 침투하고 있는 것으로 알려졌다. 이들은 마이크 스미스, 토머스 윌리엄스처럼 미국식 이름을 사용하고 다크웹에서 입수한 미국인의 도용된 신원을 활용하며, VPN을 통해 실제 위치를 숨긴다. 일부 사례에서는 세션 기록 파일을 조작하거나 악성 파일을 기업 시스템에 전송하기도 한다. 이런 ‘근무자’는 대체로 중국이나 러시아 등 제3국에 거주하며 추적을 피하고 있다.

미국 법무부는 지난 1월, 이 같은 활동을 지원한 혐의로 5명을 기소했다. 또한 이런 활동과 관련한 자금 150만 달러와 17개의 도메인을 압수했다. FBI를 비롯한 여러 정부 기관은 현재도 이런 범죄 수법을 추적하고 차단하는 작업을 이어가고 있다.

 

AI 코딩 툴이 점점 보편화하면서 IT 직무 지원자들은 생성형 AI 기술을 활용하는 데 더 자신감을 가질 것으로 보인다. 가트너는 생성형 AI 코딩 툴을 사용하는 개발자 비율이 2023년 10% 미만에서 2027년에는 70%까지 늘어날 것으로 전망했다.

가트너 HR 부문 수석 책임 애널리스트 에미 치바는 “생성형 AI는 맞춤형 콘텐츠를 손쉽게 생성할 수 있기 때문에 많은 구직자가 이력서 및 자기소개서 작성에 활용한다”라고 설명했다.

치바는 “현시점에서는 대부분 지원자가 생성형 AI를 활용해 지원서를 보완한다고 봐야 한다. 면접이나 과제 수행 중에도 AI가 생성한 답변을 사용하거나, AI를 활용해 답변을 구성하는 등 실제로 활용하는 사례를 포착한 기업들도 있었다”라고 전했다. 일부 지원자는 자신의 신원이나 위치를 숨기거나 다른 사람이 대신 면접을 보게 하기 위해 음성이나 외모를 바꾸는 AI 딥페이크 기술을 사용하기도 한다.

피놈의 유르키위츠는 “텍사스에 거주하는 한 직원을 채용한 적 있는데, 알고 보니 그 사람은 자신의 급여보다 훨씬 더 적은 비용으로 업무를 해외에 외주를 주고 있었다”라고 말했다.

 

유르키위츠에 따르면, 해당 직원은 동시에 4곳의 회사에서 같은 수법을 쓰고 있었다. 실제로는 거의 아무 일도 하지 않으면서 연간 30만 달러에서 최대 50만 달러를 벌어들이고 있었다. 유르키위츠는 “완전히 돈을 노린 행위였고, 사실상 아무런 처벌이 없었다. 실질적인 억제 장치가 없는 셈이다. 이런 유형의 사기를 탐지할 수 있는 더 나은 기술이 반드시 필요하다”라고 강조했다.

생성형 AI는 문제이자 해결책이다. 유르키위츠는 생성형 AI가 지원자 선별에 도움을 줄 수 있을 뿐 아니라, 사기 감지에도 활용할 수 있다고 설명했다. 실제로 피놈은 딥페이크를 식별할 수 있는 AI 에이전트를 곧 출시할 예정이다.

설 자리 좁아지는 ‘진짜’ 지원자

AI 딥페이크 지원자가 급증하면서 나타나는 또 다른 문제는, 실제 역량을 갖춘 구직자의 채용 기회가 줄어든다는 점이다. 유르키위츠는 “당신이 ‘가짜’ 지원자 때문에 채용에서 밀리고 있다면 어떻겠는가? 상당히 복잡한 딜레마다”라고 지적했다.

유르키위츠는 “자격을 속여 입사한 가짜 지원자들은 결국 들통나 해고되겠지만, 그때쯤이면 이미 목적을 달성한 셈이다. 수백 건의 지원서를 제출하고, 그중 몇 개라도 걸러지지 않기를 바라는 일종의 확률 게임이다. 소수만 성공해도 시스템을 악용하기엔 충분하다”라고 덧붙였다. 이런 가짜 직원은 3~6개월 정도 일한 뒤 급여만 챙기고 회사를 떠나 다음 일터로 옮긴다.

그로 인한 기업의 재정적 피해는 막대할 수 있다. 미국 노동부에 따르면, 잘못된 채용 한 건당 첫 해 연봉의 30%에 달하는 손실이 발생할 수 있으며, 일부 HR 업체는 가짜 직원 한 명으로 인해 발생하는 손실이 24만 달러에서 많게는 85만 달러에 이를 수 있다고 추산했다.

유르키위츠는 “가짜 지원자를 채용했을 때의 비용은 엄청나다. 이들은 교육도 받고 오리엔테이션도 거치며 3개월 동안 급여를 받는다. 이런 방식으로 사기를 치는 네트워크를 만들어 기업 100곳에 동시에 적용했다고 가정해보자. 들키기 전까지 엄청난 돈을 벌 수 있다”라고 설명했다.
dl-itworldkorea@foundryco.com