들어가며

구독자님, 지난달 EY가 자사 보고서를 삭제했어요. 27개 각주 중 16개가 가짜였거든요. 그런데 이번 주 KPMG까지 같은 일을 당했어요. 이번엔 더 심해요. 45개 각주 중 5개만 진짜 였어요. 딜로이트까지 합치면, 빅4^[1]​ 중 3곳이 AI가 만들어낸 가짜 각주에 걸린 거예요.

GPTZero라는 AI 탐지 스타트업은 이 현상에 "바이브 사이팅(vibe citing)"^[2]​이라는 이름을 붙였어요. AI가 지어낸 가짜 출처를 검증 없이 그대로 갖다 쓰는 행위예요.

결론부터 말씀드리면, 이건 개별 기업의 실수가 아니에요. 문제의 본질은 기술이 아니라 "검증을 건너뛰게 만드는 조직 구조"에 있어요.

GPTZero 연구팀이 EY 캐나다와 KPMG의 보고서 "Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems", "Total Experience: Redefining Excellence in the Age of Agentic AI"를 한 줄 한 줄 추적한 결과는 꽤 충격적이에요.

🔍 EY 보고서에서 실제로 발견된 것들

먼저, EY의 보고서는 로열티 프로그램(포인트·마일리지)의 사이버 보안 취약점을 다루는 내용이었어요. EY의 파트너 2명과 시니어 매니저 1명이 저자로 이름을 올렸고, 캐나다 지사의 사이버보안 컨설팅 영업용 자료로 활용되고 있었어요.

먼저 시간순으로 첫 번째 사건이에요. 2025년 말 EY 캐나다가 발행한 로열티 프로그램 사이버보안 보고서를, GPTZero가 한 줄 한 줄 추적했어요.

EY 캐나다는 보고서를 즉시 삭제하고 "게재 경위를 검토 중"이라고 밝혔어요. 동시에 "이 보고서는 어떤 클라이언트 프로젝트와도 관련이 없다"고 선을 그었고요. 한 마디로, 본인들이 작성하고, 게재한 보고서인데 본인들이 어떻게 올렸는지 모르겠고, 고객과도 상관 없으며, 데이터 출처도 모르겠다고 한 셈이에요. 😂

KPMG: AI 보고서를 AI가 환각으로 채우다

EY가 터진 지 한 달도 안 돼서, 이번 주 KPMG에서 더 큰 사건이 터졌어요.

KPMG 인터내셔널이 2025년 10월 발행한 "Total Experience: Redefining Excellence in the Age of Agentic AI"라는 보고서가 문제예요. 에이전틱 AI^[3]​의 기업 활용 사례를 다룬 보고서인데, GPTZero의 분석 결과 45개 각주 중 정확히 출처와 일치하는 것은 5개뿐이었어요. 나머지 40개는 제목이 변조되었거나, 출처를 특정할 수 없거나, 완전히 날조된 것이었어요.

각주만 문제가 아니에요. 보고서에 등장하는 사실관계의 약 절반이 허위이거나 출처가 뒤바뀌어 있었어요. UBS, 영국 NHS, 스위스 연방철도, 런던 교통공사의 AI 도입 사례가 구체적으로 서술돼 있었는데, 해당 기관들이 FT에 "그런 사실이 없다"고 확인해 줬어요. 에미레이트 항공의 AI 챗봇 'Sara'가 항공편을 변경할 수 있다는 서술도 거짓이었어요. Sara는 챗봇이 아니라 로봇 안내원이고, 항공편 변경 기능은 없어요.

더 아이러니한 건 자기 모순이에요. 보고서는 "CEO의 55%가 AI를 최우선 투자 대상으로 꼽는다"고 썼는데, 같은 달 KPMG가 발행한 자체 CEO Outlook 보고서에서는 그 수치가 71%였어요. 자기 회사 보고서도 제대로 참조하지 못한 거예요.

KPMG는 보고서를 웹사이트에서 내리고 "게재 경위를 조사 중"이라고 밝혔어요. (어째 레파토리가 같죠?)

📋 컨설팅만의 문제가 아니에요

EY, KPMG에 앞서 딜로이트는 이미 두 차례 걸렸어요. 2025년 호주 정부 복지 보고서(수수료 일부 환불)와 캐나다 의료 인력 보고서(160만 캐나다 달러)에서 가짜 학술 인용이 발견됐고, 실존 연구자들이 한 번도 같이 작업한 적 없는 논문의 공저자로 묶여 있었어요.

법률 업계도 예외가 아니에요. 2026년 4월, 월스트리트 명문 로펌 설리번 앤드 크롬웰이 뉴욕 연방파산법원에 사과문을 냈어요. 긴급 신청서에서 미국 파산법을 잘못 인용하고 존재하지 않는 판례를 인용한 사실이 발견된 거예요. 파트너 앤드류 디트데리히는 "사내 AI 정책이 준수되지 않았다"고 시인했어요.

학계도 마찬가지예요. GPTZero는 세계 최고 권위 AI 학술대회 NeurIPS 2025의 승인 논문 4,000편을 분석해 최소 53편에서 100건 이상의 환각 인용을 발견했어요. 파리 HEC의 다미앵 샤를로탱이 운영하는 AI 환각 판례 데이터베이스에는 2026년 초 기준 1,450건 이상이 기록돼 있고, 2025년에만 전체의 약 90%가 발생했어요.

🧩 구조적 문제: 왜 이런 일이 반복되는가

이쯤 되면 "AI가 문제다"라는 결론으로 향하기 쉬운데요. 저는 조금 다른 곳을 보고 있어요.

첫째, "thought leadership 보고서"의 생산 구조가 바뀌었어요.

EY의 로열티 보고서도, KPMG의 에이전틱 AI 보고서도 클라이언트 납품물이 아니었어요. 컨설팅 서비스를 알리기 위한 마케팅 자산이에요. 빅4는 매년 수백 편의 이런 보고서를 발행하고, 이것들이 "우리가 이 분야 전문가"라는 시그널을 시장에 보내요. 생산 압박이 커지면서 검증 프로세스가 클라이언트 납품물만큼 엄격하지 않은 거예요. KPMG의 경우, AI의 활용 사례를 다루는 보고서를 AI가 환각으로 채웠다는 건 아이러니를 넘어 신뢰 구조 자체의 결함이에요.

둘째, "AI를 썼는지 안 썼는지"가 검증 대상에 빠져 있어요.

딜로이트 호주 사례가 상징적이에요. 최초 보고서에는 AI 사용 사실이 아예 언급되지 않았어요. 문제가 불거진 뒤에야 "Azure OpenAI를 사용했다"고 인정했고요. 설리번 앤드 크롬웰도 "포괄적인 AI 사용 정책과 교육 요건이 있다"면서도, 정작 "이 정책이 준수되지 않았다"고 시인했어요. 정책이 있다는 것과 정책이 작동한다는 건 완전히 다른 문제예요.

셋째, "간접 환각"이라는 새로운 오염 경로가 생겼어요.

GPTZero가 이번에 특히 주목한 건 간접 환각(secondhand hallucination)^[4]​이에요. EY 보고서의 가짜 맥킨지 출처는 아마도 AI가 저품질 블로그에서 이미 환각된 정보를 "진짜"로 학습한 뒤 재생산한 결과예요. GPTZero 연구팀의 표현을 빌리면, 이런 보고서를 온라인에 게시하는 행위 자체가 "인터넷이라는 지식의 우물에 독을 타는 것"과 같아요. 특히 EY처럼 권위 있는 기관의 웹사이트에 올라간 정보는 다른 AI 모델의 학습 데이터로 흡수될 가능성이 높아서, 환각이 환각을 낳는 악순환이 만들어질 수 있어요. 특히, AI가 인용하는 것들은 권위있는 매체를 선호하기 때문에 더 심각해요.

오스왈드의 시선

저는 이 사건의 핵심이 "AI 환각"이라는 기술적 결함에 있다고 보지 않아요.

GTM 전략을 수립하면서 수없이 봐온 패턴이 있어요. 새로운 도구가 등장하면, 기업들은 그 도구를 클라이언트에게 팔면서 동시에 내부에서 써요. 이 이중 포지션이 작동하려면 "우리는 이 도구의 리스크를 관리할 수 있다"는 증명이 필요한데, 지금 빅4 중 3곳이 그 증명에 동시에 실패했어요. EY는 AI 매출 30% 성장을 자랑하면서 각주를 검증하지 못했고, KPMG는 AI 거버넌스를 강조하면서 AI가 날조한 사례를 그대로 실었어요.

제가 보기에 진짜 위험한 건 환각 자체가 아니에요. 각주 하나를 AI로 생성하는 데는 3초, 그걸 검증하는 데는 3분이 걸려요. 각주 27개면 81분이에요. 환각을 잡아내는 비용이 AI로 절약한 시간보다 클 수 있다는 사실을, 대부분의 조직이 아직 인식하지 못하고 있어요.

마치며

이 사건에서 기억해둘 세 가지가 있어요.

1. 빅4 중 3곳이 걸렸다는 건, 이게 특정 회사의 문화 문제가 아니라 산업 구조의 문제라는 뜻이에요. 남은 한 곳(PwC)이 안전하다는 보장도 없고요.

2. 문제가 반복되는 이유는 기술이 아니라 조직 내 검증 프로세스에 있어요. "AI 사용 정책"이 있다는 것만으로는 충분하지 않아요. 정책이 실제로 작동하는지 확인하는 구조가 필요해요.

3. 신뢰를 파는 산업에서 출처의 정확성은 제품 그 자체예요. 가짜 각주 하나가 드러나는 순간, 보고서의 결론이 아니라 기관의 판단력 전체에 의문이 붙어요.

다음에 컨설팅 보고서나 리서치 자료를 읽을 때, 각주의 URL을 한 번 직접 클릭해 보세요. 그 작은 행동이 "이 출처가 진짜인가?"라는 질문의 시작이에요.

참고자료 & 더 읽기

핵심 출처

배경 지식

필자 안광섭은 세종대학교 경영학과 교수이자 OBF(Oswarld Boutique Consulting Firm) 리드 컨설턴트이다. 대학에서 경영데이터 관리, 비즈니스 애널리틱스 등 통계 및 데이터 분석을 가르치는 한편, 현장에서는 GTM 전략과 인공지능 전략 컨설팅을 이끌며 기술과 비즈니스의 접점을 설계하고 있다. AI 대화 시스템의 기억 아키텍처(HEMA) 연구로 학술 논문을 발표했으며, 매일 글로벌 AI 논문을 큐레이션하는 Daily Arxiv 프로젝트를 운영하고 있다. 고려대학교 기술경영전문대 석사과정와 KMBA을 졸업했다. 지은 책으로 《생각을 맡기는 사람들: 호모 브레인리스》가 있다.