월 16만원에 ‘해킹앱’ 사는 세상…금융사기도 ‘구독경제’ [사기공화국의 민낯]

다크웹서 금융사기 도구 판매 현장 살펴보니
크랙소프트웨어·봇넷·악성코드 등 200여건
악성앱 구독 서비스 월120달러 수준 거래
AI 도입 후 피싱 공격 1건 제작 16시간→5분
美·英 공공-민간기업 실시간 정보 공유 대응

다크웹에서 판매중인 서비스형 범죄 도구. 일명 ‘카드 결제 사기를 성공시키기 위한 툴 키트’가 145달러 상당 비트코인에 판매중이다. 신용카드를 기프트카드로 바꾸고, 다시 기프트카드를 비트코인으로 바꾸는 툴을 묶음 상품으로 판매하는 식이다. [다크웹 캡처]

[헤럴드경제=정호원·경예은] AI(인공지능)가 금융사기의 진입장벽을 완전히 허물고 있다. 전문 해커가 아니더라도 다크웹에서 악성 앱을 ‘구독’ 형식으로 구매해 유포할 수 있는 시대다. 사기 범죄가 ‘서비스형 구독모델’로까지 진화하면서, 민·관 및 국제적 공조의 필요성이 그 어느 때보다 절실해졌다.

▶ 연간 2500달러면 범죄 준비 끝…‘가성비’ 따지는 사기꾼들 = 금융사기 수법이 고도화되면서 범죄 도구를 제작·유통하는 행위 자체가 수익성 높은 사업으로 변모하고 있다.

본지가 16일 한 다크웹에 접속해 실태를 파악한 결과, 금융사기범죄와 관련해 ‘사기’·‘소프트웨어’·‘보안·해킹’ 등의 카테고리별로 상품이 판매 중이다. 사기 카테고리 내에서는 범행 수단과 목적에 따라 관련 상품이 세밀하게 구분됐다. 구체적으로는 ▷방법(382건) ▷서비스(33건) ▷계정(173건) ▷툴(40건) ▷카드(273건) 등이 실시간으로 거래되고 있었다.

특히 디지털상품 목록 중에는 금융범죄와 맞닿은 게시물이 다수 확인됐다. 거래소 계정, 이메일 계정 묶음 등이 판매 목록에 올라와 있었다. 표면상으로는 데이터 거래 형식을 띠지만 실제로는 계정 탈취와 신원도용에 악용될 수 있는 정보와 접근 권한이 한데 뒤섞여 유통되는 구조에 가까웠다.

소프트웨어 관련 카테고리에서는 단순 프로그램 판매를 넘어 범죄 실행 환경 자체를 패키지화한 정황도 포착됐다. VPN, 프록시 설정, 식별정보 위장, 흔적 삭제 기능 등을 묶어 결제사기에 활용할 수 있도록 꾸민 상품들이 게시돼 있었다. 일부 판매자는 카드 결제 사기 성공률을 높여준다고 홍보하며 해당 상품이 최신 버전이라는 점을 강조하기도 했다.

결제 수단 역시 범죄 생태계의 특성을 드러냈다. 상당수 판매글은 비트코인뿐 아니라 모네로(XMR), 테더(USDT) 기반 결제를 지원하고 있었고 거래 방식으로는 에스크로를 내세웠다.

심지어 일반 쇼핑몰에서나 볼 법한 ‘구매 후기’도 줄을 이었다. 다크웹을 이용해 범행수단을 구입한 한 이용자는 “받은 물건이 마음에 들고 아주 잘 작동한다. 다른 것이 또 필요하면 다시 올 수도 있을 것 같다”, “아주좋다”는 후기를 공유하기도 했다.

디지털금융범죄대응연구소의 자체 조사에 따르면 현재 다크웹 내에서 가장 흔한 악성 앱 구독 서비스는 월 120달러(약 16만원) 수준에 거래되고 있다. 유포자는 해당 앱을 월간 단위로 구독해 배포한 뒤, 피해자로부터 금융정보를 탈취한다. 클라우드 기반 구독 서비스부터 랜섬웨어 도구를 묶어 파는 ‘RaaS(서비스형 랜섬웨어)’까지 종류도 다양하다. 저가형은 7000달러대에서 시작하며, 프리미엄 서비스는 30만달러를 호가하기도 한다. 최근 기승을 부리는 딥페이크 피싱의 경우 단돈 5달러(약 7000원)면 1분 분량의 가짜 영상을 제작할 수 있다. 기술적 숙련도보다 ‘비용 대비 효율’을 따지는 범죄 생태계가 공고히 구축된 셈이다.

▶ MS 차단 피싱 62%가 ‘구독형’… AI로 제작 시간 ‘16시간→5분’ 급감 = 다크웹 플랫폼을 통해 ‘외주화’된 피싱 범죄의 파괴력은 수치로도 증명된다. 지난 3월 유럽경찰기구(유로폴)가 폐쇄한 피싱 플랫폼 ‘타이쿤 2FA’가 대표적 사례다. 이들은 다중인증(MFA) 보안 체계를 우회하는 구독형 툴킷을 범죄자들에게 공급해 왔다. 마이크로소프트(MS)가 차단한 전 세계 피싱 시도 중 무려 62%가 이 서비스를 통해 이뤄졌을 정도로 파급력이 막대했다.

김태일 디지털금융범죄대응연구소 이사장은 “AI의 등장으로 ‘범죄 인프라 제공자’들의 수법이 극도로 정교해지고 있다”며 “돈만 내면 다크웹 등에서 미리 만들어진 도구를 쇼핑하듯 구매해 금융사기를 저지를 수 있는 구조”라고 진단했다. 실제로 IBM에 따르면 AI 도입 이후 피싱 공격 1건을 제작하는 시간은 기존 16시간에서 5분으로 단축됐으며, 관련 비용은 최대 95% 절감된 것으로 파악된다.

추적을 따돌리는 수법 역시 갈수록 치밀해지고 있다. 범죄 자금은 대개 가상자산으로 결제되며, 불법 장외거래(OTC)를 거쳐 현금화될 경우 블록체인상의 추적마저 사실상 무력화된다.

자금 흐름뿐 아니라 기술적 탐지를 피하기 위한 이들의 ‘사전 검수’ 과정은 더욱 영악하다. 사기범들이 국내 보안업체의 악성 앱 탐지 서비스를 수시로 이용하며 자신들의 앱이 걸러지는지 미리 테스트하는 ‘테스트 베드’로 삼고 있기 때문이다. 실제 국내의 한 보이스피싱 탐지 앱 운영자는 “사기범들은 앱을 업데이트할 때마다 주기적으로 국내 보안 프로그램을 가동하며, 자신들의 악성 코드가 탐지망에 걸리는지 여부를 집요하게 점검하는 것으로 파악된다”고 말했다.

▶ “공공의 힘만으론 한계…민간 협력·법적 근거 시급” = 전문가들은 금융사기 대응 패러다임의 전환을 촉구한다. 제임스 헤어스톤 오픈AI 정책책임자는 지난 3월 오스트리아 글로벌 사기방지 서밋에서 “생성형 AI가 피해자의 언어 습관과 감정 상태까지 분석해 속이는 시나리오를 작성할 수 있다”며 AI 기술이 범죄의 ‘두뇌’ 역할을 하고 있음을 경고했다.

결국 해법은 민간과의 긴밀한 ‘공조’에 있다는 게 중론이다. 김 이사장은 “미국과 영국 등은 공공의 힘만으로는 대응이 불가능하다는 판단 아래 민간 기업과 실시간으로 정보를 공유한다”며 “우리나라도 공공과 민간이 공동의 목표를 가지고 대응할 수 있는 정책적 체계와 법적 근거를 서둘러 마련해야 한다”고 제언했다.