보이스피싱 ‘조직’은 옛말, 이제는 1인 캠페인

한 사람만 있으면 보이스 피싱 캠페인을 운영할 수 있는 시대가 왔다. 자동화 범죄 도구 아서(ATHR) 덕분이다. 최초 구매비 4000 달러와 이후 발생하는 수익의 일부를 개발자와 나누기만 한다면 사용자는 구글, 마이크로소프트, 코인베이스 등을 사칭한 이메일 알림을 피해자에게 발송할 수 있게 된다. 이 알림 메시지에는 전화번호가 포함돼 있어 피해자가 전화를 걸도록 유도하며, 실제 피해자가 전화를 걸면 인간이나 AI 음성 에이전트 중 하나에게 연결된다고 한다.

보안 기업 앱노멀AI(Abnormal AI)는 이러한 현재 상황을 알리며, “이제 AI는 일상적인 범죄 워크플로우의 일부가 됐다”고 경고한다. “피싱 공격자가 사용자를 속여 크리덴셜이나 인증 코드를 범죄자에게 알려주도록 유도하는 데 필요한 모든 것을 제공하는 플랫폼이 아서입니다. 원래는 조직적인 ‘팀 단위’ 작업으로서 진행되던 일을 단 한 사람이 할 수 있게 된 것입니다.” 

보이스피싱, 원래 어떻게 진행됐나?

아서의 무서움을 이해하려면 일반적인 보이스 피싱 작전이 어떤 식으로 진행되는지를 짚고 넘어가는 게 필수다. 다수 영화에서 묘사됐듯 ‘보이스피싱 캠페인’이라고 하면 콜센터와 비슷한 형태의 조직이 기본이다. 즉 다수 인원이 동원되는 작전이라는 의미다. 이 인원들은 크게 다음과 같이 구성돼 있다.

1) 기술 담당: 이메일 대량 발송 서버 구축, 피싱 사이트 제작, 추적 회피 기술 적용 등
2) 콜러: 직접 전화를 통해 피해자를 속이는 역할. 언어능력과 연기력이 중요하며 여러 명이 교대로 근무하는 게 보통
3) 관리자: 전체 과정을 모니터링하고 수익금을 정산·배분·세탁하는 역할
4) 인프라 담당: 사무실 공간, 여러 대의 전화기, 복잡한 통신 장비 등을 조달하는 역할

아서는 이런 보이스피싱 산업을 어떻게 바꾸고 있을까? “가장 먼저는 기술 담당의 역할을 도맡습니다. 정교한 피싱 이메일을 자동으로 발송하는 것이죠. 콜러 역할도 일부 담당합니다. 사람이 직접 전화받지 않아도 되도록 AI가 미리 학습한 시나리오에 따라 실시간으로 대응합니다. 크리덴셜이나 인증코드를 획득하기도 합니다.” 하지만 관리자나 인프라 담당 역할은 AI가 대신하지 못한다. AI 에이전트들의 공격 현황을 누군가는 중앙에서 추적하고 관리해야 한다. 또한 필요한 작업 공간과 장비를 마련하는 것 역시 사람의 몫이다.

정말 사람을 대체할 정도인가?

AI가 사람을 대체한다고 했을 때 우리가 자동으로 떠올리는 의문은 ‘정말 그렇게 완벽한가?’이다. 아서는 기술 담당과 콜러의 기능을 완벽하게 수행할까? 앱노멀 측은 “단순 흉내 수준을 넘어 범죄 효율성 측면에서 인간을 능가하기 시작했다”고까지 설명한다. 

“공격 성공률부터 인간을 초월했습니다. 이는 단지 아서만의 이야기가 아닙니다. 핀란드 사이버 보안 기업 혹스헌트(Hoxhunt)의 연구 결과에 의하면 2025년 3월을 기점으로 AI 피싱 에이전트의 성공률이 숙련된 인간 레드팀의 그것을 넘어섰다고 합니다. 둘 사이에 약 24%의 갭이 존재하는 것으로 분석되기도 했고요. 아서만 하더라도 같은 말을 반복하는 예전 기계들의 한계를 한참 벗어나, 대화의 맥락을 이해하고 피해자의 반응에 따라 실시간으로 시나리오를 수정할 수 있습니다.”

이는 보이스피싱 공격이라는 측면에서 AI 에이전트인 아서가 가지고 있는 다음 장점으로도 연결된다. 바로 ‘뛰어난 맞춤형 설계’이다. “피해자의 대략적인 위치나 최근 타임스탬프 등을 고려해 실제와 유사한 IP 주소가 포함된 가짜 보안 알림을 보냅니다. 이런 정보들이 너무나 구체적이라 피해자들 대부분 해당 알림이 진짜라고 믿습니다. AI가 통화를 진행하는 동안 인간 운영자는 피해자의 화면을 가짜 계정 복구 페이지로 우회 접속시켜 ‘통화 내용과 화면이 일치한 것처럼 보이게’ 만들기도 합니다.”

하지만 AI가 진행하는 보이스피싱 캠페인의 가장 무서운 점은 따로 있다. 바로 ‘확장성’이다. “공격자 한 사람은 한 번에 피해자 한 사람과만 통화할 수 있습니다. 아서는 수백 명과 동시에 개별적 통화를 진행할 수 있습니다. 그러면서도 감정의 기복이 없습니다. 일관되게 친절하고 부드러운 톤을 유지합니다. 사투리를 쓰지 않거나, 일부러 특정 사투리를 흉내 낼 수도 있습니다. 일관된 수준으로 말입니다. 이 때문에 피해자는 더욱 속기가 쉬워집니다.”

앱노멀 연구원들은 결국 “구분이 불가능한 수준”에까지 이르렀다고 아서를 평가한다. “사람과 기계를 구분하기 힘들다는 것만이 아닙니다. 합법적인 통신과 가짜 통신을 귀로만 듣고 직감적으로 판단하기 어려운 때가 도래했다는 의미입니다. 예전에는 어설픈 말투나 어색한 시나리오가 중요한 단서가 됐습니다만 더는 아닙니다. 심지어 기술적 인증까지 통과하기 일쑤니, 우리의 판단력이라는 건 갈수록 무력해지고 있는 게 현실입니다.”

한 사람이 진행하는 보이스피싱, 어떤 의미인가?

1인이 보이스 피싱 캠페인을 진행할 수 있다는 건 단순히 공격 효율이 좋아졌다는 것 이상의 의미를 갖는다고 앱노멀 연구원들은 강조한다. “전문적인 해킹 지식이나 말 잘하는 조직원들에 의존할 필요가 없어졌습니다. 돈만 내면 누구나 사기를 칠 수 있게 됐다는 것이죠. 즉, 사이버 범죄로의 진입 장벽이 대폭 낮아졌다는 의미로, 누구나 사이버 범죄에 참여할 수 있게 됐습니다.”

뛰어난 확장성은 공격 성공 빈도를 높이는 단초가 되기도 한다. “아서는 한 번에 여러 명과 통화를 할 수 있죠. 공격 성공률이 낮다 하더라도 이 정도로 ‘규모의 공격’을 감행하게 되면 피해자의 절대수가 늘어날 수밖에 없습니다. 그런데 공격 성공률마저 인간을 능가한다고 하니, 피해자가 얼마나 양산될지 상상도 할 수 없습니다.”

성공 가능성이 높은 수단인데 경제적이기까지 하다고 앱노멀은 마지막으로 지적한다. “대량의 공격을 짧은 시간에 수행할 수 있다는 것만으로도 아서는 많은 지출을 아껴주는 도구입니다. 그런데 실질적으로 대량 인원 감축도 가능하게 합니다. 즉, 운영자가 인건비를 아낄 수 있다는 의미입니다. 수익이 온전히 운영자 한 사람의 것이 된다는 거죠. 범죄 수익률이 극도로 높아진 건데요, 이는 ‘낮아진 진입장벽’ 효과와 시너지를 일으켜 더 많은 사람들을 이리로 유입시키게 됩니다.”

방어 방법이 있나?

이렇게 완벽해 보이는 아서를 공격자들이 적극 활용한다고 했을 때, 일반 개개인들은 방어할 수 있을까? 대처라는 게 가능하긴 할까? 앱노멀은 “100% 안전을 보장할 만한 대책은 없지만, 어느 정도 아서를 무력화시키는 건 가능하다”고 답한다.

“설득력을 강화한 AI를 인간이 감으로만 막을 수는 없습니다. AI는 AI로 막는 게 정설이죠. 행동 분석 AI 보안 도구를 활용해 매일을 실시간으로 분석하는 등의 노력을 기울여야 합니다. 아서의 경우 뛰어난 AI 플랫폼이긴 하지만 6자리 크리덴셜 및 인증번호를 탈취하는 게 궁극적 목표인 기술입니다. 즉 우리가 6자리 숫자로 되어 있는 인증번호를 사용하지 않는다면 아서가 무용지물이 된다는 의미가 됩니다. 보안 키나 생체 인증, 다중 인증 등을 기본 인증 수단으로 설정한다면 아서를 이용한 공격자도 뭘 더 어떻게 해볼 수가 없습니다.”

아서가 보낸 가짜 메시지 속 전화번호가 핵심이라는 것도 앱노멀은 짚는다. “최초 가짜 알림 메시지에 속아 전화를 하지 않는다면 아서의 그 현란한 ‘설득력’이라는 것의 대부분이 사라집니다. 어차피 우리는 문자나 메일로 들어온 번호로 곧장 전화하지 않는다는 걸 기본 보안 수칙으로 가지고 있습니다. 정 전화를 해야 한다면 공식 홈페이지 등에 기재된 전화번호를 찾아 전화하는 게 정석이죠. 이 기본을 기억하고 습관화 한다면 아서도 충분히 막을 수 있습니다.”

AI가 아무리 즉석에서 시나리오를 만들어 내 대응한다 하더라도 여러 번 돌발 질문을 던지면 실수를 하게 되어 있다는 것도 기억하면 유용하다. “맥락 없는 질문을 떠올렸다가 갑자기 던져보세요. 앞뒤 전혀 고려하지 않고 갑자기 날씨를 묻는다던가, 어제 스포츠 경기 봤냐고 물어보는 등 맥락을 여러 번 끊으면 AI가 엉뚱한 답을 내놓을 확률이 높습니다. 결국 기본기에 방어의 해답이 있다는 건 동일합니다.” 🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• 2023년 공개된 26,447개 취약점 중 1% 미만만이 실제 고위험·악용 대상으로 분류된다는 점을 통해, 취약점의 위험도와 의미가 환경·위협 행위자·악용 가능성에 따라 ‘상대적’으로 결정된다는 사실을 보여주는 Qualys TRU 기반 분석 기사 - Infosecurity Magazine , 2023년
• 취약점 우선순위화를 위해 CVSS의 기본 점수만이 아니라, 조직별 자산 중요도·운영 환경·사업 영향도를 반영하는 ‘Contextual and Environmental Metrics’가 필요하다고 제시하며, 취약점의 위험이 고정값이 아니라 맥락에 따라 달라지는 상대적 개념임을 체계적으로 정리한 논문 「A Survey on Vulnerability Prioritization: Taxonomy, Metrics, and Research Challenges」 - arXiv , 2023년(메트릭 논의·선행연구 정리 기준)
• 조직의 전체 CVE 개수가 아니라, 클라우드·온프렘·계정·ID 등 각 환경에서 공격자의 실제 이동 경로와 노출(exposure)에 따라 ‘보안 태세(security posture)’와 취약성이 상대적으로 달라진다는 점을 설문 데이터로 보여주는 「The 2024 State of Security Posture Survey Report」 - XM Cyber , 2024년
• 기술적 취약점 그 자체보다, 이용자·조직이 처한 경제·사회·심리적 맥락(두려움, 인지된 취약성, 보호 동기 등)에 의해 피해 가능성이 달라지는 ‘맥락적 취약성(Contextual Vulnerabilities)’ 관점을 제시하여, 취약성은 고정된 것이 아니라 환경과 인식에 따른 상대적 현상임을 보여주는 박사학위논문 「A Contextual Vulnerabilities Approach to Economic Cybercrime Victimisation」 - Durham University , 2020년(취약성의 상대성·맥락성 개념 정리에 유용)

혈혈단신 멕시코 정부 기관 9곳 뚫어버린 해커, AI가 조수였다

💡Editor’s Pick - 멕시코 턴 해커, AI 이용해 9개 기관 순식간에 침해 - 클로드코드는 수족 역할, GPT-4.1은 분석가 역할 - 공격의 시초가 된 건 결국 똑같은 실수와 결함...업데이트와 비밀번호 한 해커가 단신으로 멕시코 정부 기관 9곳을 침해하는 데 성공했다. 클로드코드(Claude Code)와 오픈AI의 GPT-4.1 등 인기

더테크엣지(The Tech Edge)문가용 기자