지난 1월, 실화를 바탕으로 제작된 영화 <시민 덕희>가 개봉해 단기간에 박스오피스 1위에 올랐다. 이는 지난 2016년, 세탁소 주인인 김 씨가 보이스 피싱 조직 전체를 잡은 실화를 바탕으로 제작됐다. 평범한 소시민이 보이스 피싱 범죄에 휩쓸리며 벌어지는 코믹 영화로, 관객들에게 간교한 보이스 피싱 범죄에 대한 통쾌함을 선사하지만, 우리 사회의 실상은 그렇지 않다. 금융감독원의 분석에 따르면 보이스 피싱 피해 액수는 2023년 기준 1,965억원으로 전년 대비 35.4% 상승했다. 

 더욱 교묘해지는 보이스 피싱 범죄에 대해 우리대학 학우들의 인지도 및 사례를 조사하기 위해 20명을 대상으로 설문조사를 실시했다. 설문조사 결과에 의하면 ‘보이스 피싱 전화를 받은 경험이 있는가?’라는 질문에 14명(70%)이 ‘예’라고 답했다. 또한 스미싱 문자를 받은 경험이 있는지에 대한 질문에 17명(85%)이 ‘예’라고 답했으며, 최근에 등장한 피싱 기법인 딥 페이크 및 큐알 피싱을 경험한 적이 있는지에 대한 질문에는 20명 모두 ‘아니오’라고 답했다. 큐알 및 딥 페이크  피싱에 대한 인식은 미미했지만, 스미싱 및 기존의 보이스 피싱 수법은 과반수  이상 경험한 것으로 나타났다.





스미싱의 다변화, 당신의 휴대 기기를 제어한다



‘스미싱’은 문자메시지(SMS)와 피싱(Phishing)을 조합한 단어로, 문자를 통해 이용자의 개인정보 접근을 시도하는 범죄를 뜻한다. 스미싱 기법은 꽤 이전부터 활용됐던 피싱 기법으로, 주변 지인 및 공공기관을 사칭해 피싱사이트 접속 및 악성 앱 설치를 유도하는 추세다. 

김은성 한국인터넷진흥원 탐지대응팀장은 KBS 뉴스에서 “과거에는 피싱 사이트로 유도하는 경우가 많았지만, 최근에는 악성 앱을 설치해 개인정보를 탈취하는 사례가 더 많다”고 말하며 “악성 앱이 한 번 설치되면 휴대전화기로 할 수 있는 각종 권한이 다 허용된 상태이다 보니 탈취한 개인정보로 협박하는 건 물론, 원격 제어를 할 수 있어 더 위험하다”고 강조했다. 

한국인터넷진흥원에 따르면 스미싱 문자 유형 가운데, 청첩장이나 부고장 등 지인으로 위장한 사칭 문자는 2020년부터 2022년에는 0.1% 안팎에 그쳤던 방식이 지난해 5만 9천 556건(11.8%)으로 굉장한 증가세를 이뤘으며, 건강검진 진단 결과나 교통 법규 위반 과태료 등 공공기관으로 위장한 사칭 문자는 지난해 35만 10건으로, 47.8%를 차지했다. 최근 들어 공공기관이나 지인으로 위장해 접근하는 경우가 더욱 급증했는데, 지인의 부고나 무료 건강검진 등 우리의 일상에서 일어날 수 있는 크고 작은 사건으로 위장해 사람들의 경계를 쉽게 허물고 있다. 







2030 세대 겨냥, QR 활용한 피싱





지난 3월, 서울시설관리공단에 따르면 공단은 2월 말 서울시 공유 자전거 따릉이 앱 이용자에게 ‘큐싱 범죄 주의 안내’ 공지를 발송했다. 30대 임모 씨의 전동 킥보드 제보를 시작으로 ‘QR 코드 위 가짜 QR 스티커를 발견했다’는 글이 SNS상에서 확산되며, 일명 ‘큐싱’ 범죄가 새로운 보이스 피싱 기법으로 대두되고 있다. 보안 솔루션 기업 SK쉴더스에 따르면 2023년 국내에서 탐지된 온라인 보안 공격의 17%가 ‘큐싱’으로 전년 대비 60%가량 증가한 것으로 나타났다. 이외에도 도박사이트 전단지, 불법 주차경고문 등 QR코드가 담긴 ‘큐싱’ 사례가 속출하고 있을 뿐 아니라, 저금리 대출 메일로 유인해 금융사기 예방 앱 설치 QR로 위장한 악성 앱으로 인해1,000만원이 넘는 금전적 피해를 본 사례까지 최근 등장했다. QR 결제부터 출입 등록 등 일상에서 QR 코드를 사용하는 일이 보편적으로 발생함에 따라 파생된 범죄로 여겨지며, ‘큐싱’ 기법이 생소한 대중들은 앞으로 일상에서의 QR 촬영에 있어 각별하게 주의해야 할 것으로 요망된다. 

위에서 살펴보았듯 우리의 일상이 다방면으로 변화함에 따라 피싱 범죄 기법도 발 빠르게 진화하고 있다. 더 이상 우리가 알던, 서투른 한국말로 건네는 보이스 피싱 전화는 존재하지 않는다. 명절 시즌에 맞춰 ‘교통 법규 위반’ 및 ‘택배 배송’ 스미싱 문자를 활용하는 피싱 범죄의 치밀함은 꽤 한참 전부터 다양한 피해 사례로 증명해 왔다. 그리고 최근 ‘딥 페이크’ 기술을 활용한 피싱 범죄는 다른 수법들보다도 진짜와 가짜를 구분하기 어려운 AI 신종 기법으로, 피싱 범죄의 고도화를 유발할 것으로 전망된다.





딥 페이크, 당신의 주변인을 복제한다





딥 페이크 기술은 쉽게 말해 AI 합성 기술로, 인물의 특징을 조합해 마치 실제처럼 재현한 것을 의미한다. 최근 딥 페이크 기술을 악용한 피싱 사례로 홍콩의 한 금융사의 고액 피해 사태가 발생했다. 피해 액수는 약 342억원으로, 한 금융사 직원이 딥페이크 기술로 만들어진 가짜 상사에게 해당 금액을 송금한 것으로 드러났다. 지난 20일에 방영된 SBS 탐사보도 프로그램 <그것이 알고 싶다>에서 첨단 기술의 발달로, 다양한 분야에서 사용되는 ‘딥 페이크’ 기술의 어두운 이면을 다뤘다. 해당 회차에서는 딥 페이크 기술을 활용해 일반인을 비롯해 유명인까지 사칭한 피싱 범죄를 중점적으로 파헤쳤다. 특히나 최근 코미디언 유재석, 송은이 등 유명인을 모방한 온라인 피싱 범죄 피해액만 약 1조원에 달하는 상황이라는 점에서 딥 페이크 기술의 파급력이 앞으로도 상당할 것으로 예측된다. 





‘의심’과 ‘경계’ 장착이 필요한 시점





 꽤 오래전부터 다양한 방식으로 발전한 스미싱, 최근 새롭게 등장한 큐싱, 끝으로 과학 기술 발전의 폐해로 파생된 딥 페이크 피싱까지, 더욱 치밀해진 피싱 기법은 우리의 평범한 일상을 손쉽게 무너뜨리고 있다. 

스미싱 부문에 있어서 이용자에게 발송된 문자가 스미싱인지 아닌지 확인할 수 있는 명확한 방법이 있다. 카카오톡에서 한국인터넷진흥원이 운영하는 ‘보호나라’ 카카오톡 채널을 검색해 추가한 뒤, 채팅창 하단의 ‘스미싱’ 탭을 누르고 의심되는 메시지를 복사해서 붙여넣는 절차만 거치면 된다. 만약 해당 문자가 스미싱이면 ‘악성’, 아니면 ‘정상’이라는 안내 문구가 뜨지만, ‘주의’ 문구가 나오면 스미싱 여부를 분석하고 있다는 뜻이다. 만약 수신한 문자에 대해서 ‘주의’ 문구가 뜨면, 찝찝해도 발송된 링크는 접속하지 않는 게 바람직할 것으로 보인다. 

또한 보이스 피싱을 방지하기 위해 사용자의 개인정보가 다크웹과 같은 음성화 사이트 유출에 관한 여부를 검사 해주는 서비스도 상용된다. ‘털린 내 정보 찾기’로 일명 ‘털보’에서 확인이 가능하며, 최근 3년간 털보 서비스 이용 현황이 급증한 것으로 보아, 교묘해진 금융 범죄로 인해 개인 정보 유출에 대한 대중들의 경각심이 심화하고 있다는 것을 짐작할 수 있다. 피싱 범죄에 있어 전문가들은 한결같이 ‘무심코 지나갈 수 있는 상황에서도 냉정하게 살펴보며, 의심하는 태도’를 지녀야 한다고 말한다. 단순한 규제를 넘어서서, 개인적 측면에서 우리의 일상에서도 피싱이 일어날 수 있다는 경각심을 가지고, 범세계적 측면에서는 기술의 발전이 피싱 범죄로 이어진 현 사태를 어떻게 해결할 수 있을지 함께 논의 할 시점이다.