더 교묘해진 '보이스피싱'...뛰는 범죄자 위에 나는 과학자 있다?
“이벤트에 당첨되었습니다~! 아래 URL를 클릭해 주세요.”
문자메시지 속 링크를 클릭하는 순간 보이스피싱범이 소중한 개인정보를 빼낼지도 모릅니다.
우리나라에 보이스피싱 첫 피해 신고가 접수된 건 2006년 6월. 무려 17년에 걸쳐 보이스피싱 기법은 날로 다양해지고 있어요. 이들을 뿌리 뽑기 위해 과학자들이 나섰습니다.
○ 보이스피싱, 기술로 더 사악해졌다?
● 보이스피싱, 과학기술 업었다
금융감독원에 따르면 2018년부터 2022년까지 5년간 보이스피싱으로 인한 피해 건수는 22만 7000건, 피해 금액은 1조 6000억 원에 달해요. 2021년 기준 하루 평균 20억 원이 넘는 수준이죠.
서준배 경찰대 교수는 “보이스피싱은 모바일뱅킹, 스마트폰 등이 막 사용되던 2006년에 등장했다”며 “과거에는 범죄를 하려면 절도나 주거 침입처럼 물리적으로 피해자와 접촉해야 했지만, 기술 발전으로 범죄도 시공간을 초월하게 된 것”이라 했어요.
보이스피싱 범죄 수법은 날로 진화하고 있어요. 김용대 KAIST 교수는 “보이스피싱범은 대부분 중국, 필리핀 같은 해외에 콜센터를 두고 한국으로 해외 인터넷 전화를 걸었지만, 해외 인터넷 전화가 휴대폰에 표시되자 심박스를 이용해 한국인 것처럼 속였다”고 했습니다. 유심카드를 심박스에 꽂아 ‘070’으로 시작하는 번호를 ‘010’으로 바꾸며 우리나라에서 전화한 것처럼 속였지요.
피해자의 인적 사항을 훔쳐 작성하는 맞춤 시나리오까지 등장했어요. 특정 앱을 깔도록 유도하는데, 악성 코드가 설치되면 보이스피싱 범죄자는 마음대로 피해자의 명의로 결제하거나, 금융 정보 등을 빼앗아 갈 수 있어요. 또 하이재킹 기능으로 모든 통화를 제어하기도 했어요.
김 교수는 “이 경우 피해자가 아무리 은행, 경찰, 검찰, 금감원에 전화해도 모두 보이스피싱 해외 콜센터로 연결돼, 의심해도 속수무책”이라고 했어요. 또 “인터넷 IP주소로 범죄자들이 있는 위치를 찾으려고 해도, 위치를 숨기는 기술들이 상당히 발전해 찾기 쉽지 않고, 다른 국가 경찰의 협조도 받아야 해서 검거에 시간이 많이 걸린다”고 어려움을 토로했습니다.
○ 보이스피싱, 목소리까지 훔친다
해외에선 음성복제기술을 악용해 가족, 지인의 목소리까지 따라하는 맞춤형 피싱으로 수억 원을 빼앗아 간 사건까지 있었습니다. 음성 딥페이크가 보이스피싱에 사용된다면 지금보다 더 많은 피해자가 발생할 수도 있습니다.
● 신종범죄 딥보이스 AI 등장
지난 3월 5일 미국 워싱턴포스트지는 캐나다에 사는 한 할머니가 인공지능(AI)으로 목소리를 만드는 기술인 딥보이스 보이스피싱에 피해를 볼 뻔했다고 보도했어요. 보이스피싱 범죄자들은 손자의 목소리를 복제한 뒤, 할머니에게 전화를 걸어 손자의 목소리로 자동차 추돌사고가 났다며 사고보험금 약 300만 원을 송금해달라고 말했어요.
2021년 아랍에미리트(UAE)의 한 은행은 대기업 임원의 목소리로 420억 원을 보내라는 전화를 받아 피해를 본 사건도 있었어요. 당시 의심 없이 거액을 송금했던 건 익숙한 목소리로 복제한 가짜 음성 때문이었죠. 경찰대학 서준배 교수는 “다행히 아직까지 우리나라엔 이 같은 피해 사례는 없다”고 했습니다.
음성복제기술은 보이스피싱을 위해 만들어진 기술은 아니에요. 디지털 휴먼을 만드는 AI 테크 기업 클레온 진승혁 대표는 “요즘 유행하는 챗GPT처럼 음성복제기술은 생성형 AI모델을 이용해 만든다”며 “목소리 데이터를 기계가 이해할 수 있는 언어로 바꾸고 수치화하면 AI가 특징적인 값을 뽑아내 원하는 목소리로 만들어 낸다”고 했어요.
이어 “원래는 돌아가신 할머니나 좋아하는 연예인이 책을 읽어주거나, 다국어로 소통하는 등 오락과 편리함을 위해 만든 기술”이라면서 “기술이 악용되지 않고 올바르게 사용되려면 결국 제도를 정비하기 위해 사회적으로 논의가 필요하다”고 말했지요.
채은선 한국지능정보사회진흥원 수석연구원은 “현재 우리나라는 AI 기술로 이미지나 음성, 영상 등을 가짜로 만들어내는 딥페이크로 인해 피해를 입은 사람을 보호할 수 있는 법이 국회에 머물러 있다”며 “애초에 AI로 음성이나 영상을 만들 때 출처를 알 수 있도록 워터마크 삽입을 의무화하고, 악용할 경우 처벌할 수 있는 방안 등을 논의해야 한다”고 했어요.
정보보안 전문기업 마크애니 이태윤 연구원은 “오디오 파일에 디지털 신호를 추가하면 사람의 귀에는 들리지 않지만, 컴퓨터로는 식별할 수 있는 오디오워터마크를 만들 수 있다”며, “워터마크 기술이 지금은 콘텐츠 무단 사용이나 배포 등을 막는 데 주로 쓰이고 있는데, 향후 딥보이스 보이스피싱 예방에도 사용될 수 있다”고 말했습니다.
○ 보이스피싱 탐지 기술도 진화 중
보이스피싱 피해를 뿌리 뽑겠다고 선포한 과학자들이 있어! 보이스피싱 덜미를 잡아 범죄를 막는 보안 기술, 지금부터 소개합니다.
● 끝없는 기술 전쟁, 승자는?
지난해 3월 신한은행은 현금자동입출금기(ATM) 앞에서 이상 행동을 보이는 사람의 행동을 분석해 보이스피싱 피해를 막을 수 있는 인공지능(AI) 영상분석기술을 개발했다고 발표했어요.
‘AI 이상행동탐지 ATM’ 서비스는 ATM 앞 CCTV 영상을 AI가 실시간으로 분석해서 사용자의 움직임 정보를 추출하고 비정상적 인 상황이라고 판단하면, 주의 문구를 표시해 사고를 예방해주는 거예요.
신한은행 디지털전략부 강정훈 수석은 “보이스피싱 사고 사례들을 분석해 보니 보이스피싱 범죄자는 주로 자기 얼굴을 가리고, 피해자들은 주로 통화를 하면서 거래를 하는 특징이 있었다”며 “이 외에도 특이한 행동 유형, 평소와는 다른 통장 거래를 AI가 탐지해 주의를 주었더니 사고 건수가 감소하는 효과를 확인할 수 있었다”고 말했어요. 신한은행은 지난 1월부터 모든 영업점에서 해당 서비스를 시행하고 있습니다.
지난 3월 21일, 김용대 KAIST 교수는 보이스피싱에 악용되는 심박스를 골라내는 기술을 개발했어요. 김 교수는 “불법 심박스를 걸러내면, 이동통신사에서 불법 심박스를 통해 걸려오는 전화를 원천 차단할 수 있을 것”이라고 기대했어요. 이외에도 카이스트에선 휴대폰 통화 중 AI가 통화 내용을 분석해 보이스피싱 위험 상황이라고 알려 주는 서비스를 개발 중이에요.
서준배 경찰대 교수는 “피해를 막기 위한 기술을 개발하는 것도 중요하지만, 일단 모르는 전화는 그냥 끊는 것이 최선의 예방법”이라고 했어요. 또, “특히 어린이가 있는 가정에서는 납치됐다는 등의 협박형 보이스피싱에 노출될 위험이 있는데, 진짜 내 가족인지 아닌지 서로만 알 수 있는 ‘암구호’를 미리 약속해 두는 것도 방법”이라고 했어요.
가족이 보이스피싱에 당했다면 대처할 수 있는 방법은 뭘까요? 서 교수는 “50만 원이 넘는 돈을 이미 송금했다면 지연인출제도를 이용해 30분이 지나기 전 112에 전화해 ‘지급정지’ 신청을 하고, 사기범이 검찰 등을 사칭하며 신분증이나 체포영장을 사진으로 보내도 실물이 아니면 아무 효력이 없다는 것을 기억해야 한다”고 강조했습니다.
● 인터뷰 김용대 카이스트 전기전자공학부 교수
“기술을 만들 때부터 보안 취약점을 고려해야 해요.”
하이재킹 기능은 원래 해커들을 위한 불법 기능이 아닙니다. 안드로이드 운영체제에서 지원하는 기능으로 편리함을 위해 만들어졌어요. 예를 들어 제가 휴대폰 두 대를 쓰고 있을 때, A 휴대폰으로 온 전화를 B로 돌리는 기능이에요. 그런데 보이스피싱 사기범들이 정상적인 목적이 아니라 나쁜 목적으로 이 기능을 바꿔치기한 거예요.
심박스도 마찬가지죠. 심박스는 예를 들어 중국에 회사의 지사가 있다고 하면, 중국 지사에서 한국으로 값싸게 전화하기 위해 쓰는 기기예요. 그럼 해외 통신비 대신 한국의 이동통신 통화료만 내고도 인터넷 전화를 활용해 통화할 수 있지요.
과학자가 되어 기술을 개발하면 사회를 발전시킬 수 있는 기회가 많이 있어요. 다만 기술에는 밝은 면과 함께 어두운 면도 있으니, 기술이 범죄에 악용될 수 있다는 가능성을 염두에 두고 보안 취약점이 있진 않은지 고려해야 하죠. 여러분이 과학자가 된다면 이런 점을 함께 고려해줬으면 좋겠어요.
※관련기사
어린이과학동아 4월 15일, 뛰는 범죄자 위에 나는 과학자 있다? 보이스피싱
[이혜란 기자 ran@donga.com]
Copyright © 동아사이언스. 무단전재 및 재배포 금지.