AI 해킹 펜데믹 덮쳤는데···"골든타임 더 달라"는 사기꾼들
미국 피해액 4년에 4배 폭증
인공지능 탓하며 미토스 장사
해커 위에 기생하는 보안업계
인공지능(AI)을 활용한 금융 사기는 이미 전세계 금융망을 흔드는 현실적 범죄로 번지고 있다. 피싱 문구 작성, 딥페이크 음성·영상 생성, 가짜 신원 대량 생산, 투자사기 자동화, 앱 기반 통장털이까지 결합하면서 금융사기는 개별 사건을 넘어 공장식 생산라인으로 진화했다.
14일 여성경제신문이 글로벌 보안업계와 국제기구 자료를 종합한 결과 2025년 기준 전세계 금융사기 피해액은 4420억 달러, 약 600조원 규모로 추산된다. 전세계 성인 70%가 금융사기 피해를 경험했고 이 가운데 23%는 실제 금전 손실을 입은 것으로 집계됐다.
인터폴 적색수배 건수도 2024년 대비 54% 증가했고 초국경 사기 지원 건수는 1500건을 넘·었다. 인터폴은 글로벌 금융사기 위험도를 '높음'으로 평가하고 향후 3~5년 안에 규모가 더 커질 것으로 보고 있다.
미국의 금융사기 피해액은 2020년 약 40억 달러에서 2024년 166억 달러로 4년 만에 4배 이상 늘었다. 영국은 2025년 전체 범죄 가운데 사기가 43%를 차지했고 금융사기 피해액은 전년 대비 33% 증가해 약 35억 달러에 달했다. 싱가포르도 2025년 금융사기 피해액이 약 7억2100만 달러로 집계됐다.
사기 유형도 단순 피싱에서 AI 기반 복합 범죄로 바뀌고 있다. 딥페이크 보이스·페이스 클로닝은 몇 초 분량의 음성이나 영상만으로 지인·유명인 사칭을 가능하게 한다. SAS 보고서에 따르면 조사 대상 가운데 77%가 딥페이크 공격 증가를 경험했고 55%는 향후 2년 안에 딥페이크 공격이 급증할 것으로 예상했다.
생성형 AI 피싱은 속도 자체를 바꿨다. 과거 피싱 캠페인을 구축하려면 16시간 이상 걸렸지만 AI 도구를 활용하면 5분 미만으로 줄어든다. 공격자는 더 빠르게 문구를 만들고 피해자 성향에 맞게 메시지를 바꾸며 언어 장벽 없이 여러 국가를 동시에 겨냥할 수 있다.
APP 스캠, 즉 인증 결제(Authorised Push Payment) 사기도 확산하고 있다. 이는 피해자가 직접 이체하도록 조작하는 방식이다. AI 생성 이메일, 음성 클로닝, 딥페이크 영상이 결합되면 피해자는 가족·상사·거래처·금융기관 요청으로 착각하고 스스로 돈을 보낸다. AI의 대인 맞춤형 메시지가 신뢰도를 끌어올리면서 기존 보이스피싱보다 설득력이 강해지고 있다.
합성 신원 사기도 산업화되고 있다. AI는 가짜 신원을 대량 생성하고 허위 계정·가짜 서류·조작된 거래 이력을 자동으로 만든다. 개별 사기범이 아니라 여러 계정과 신원이 동시에 움직이는 조직형 공격이 늘고 있다는 의미다.
딥페이크·피싱·APP 스캠 결합
방어 준비 갖춘 기관은 7%뿐
금융권과 규제기관은 위협을 인식하고 있지만 방어 속도는 공격 속도를 따라가지 못하고 있다. 조직 내 AI·머신러닝 기반 안티프라우드 도입률은 2024년 18%에서 2026년 25%로 늘었다. 2028년까지 에이전틱 AI를 도입할 계획이라고 답한 비율은 31%였다. 그러나 딥페이크 공격 증가를 경험했다는 응답이 77%에 달한 반면 딥페이크 방어 준비가 완료됐다고 답한 기관은 7%에 그쳤다.
국제 공조도 진행되고 있다. 다리오 아모데이의 글래스윙 따위 없이도 인터폴의 오퍼레이션 레드 카드(Operation Red Card) 2.0은 2026년 2월 아프리카 16개국에서 진행됐다. 이 작전에서 651명이 체포됐고 장비 2341대가 압수됐다. 악성 IP·도메인 1442개가 차단됐으며 확인된 피해액은 4500만 달러를 넘었다. 인터폴은 2024년 이후 초국경 사기 사건 1500건 이상을 지원했고 회수·동결 자산은 11억 달러에 달한다고 밝혔다.
과거 금융사기는 개별 피싱 조직이나 보이스피싱 조직의 범죄로 인식됐다. 그러나 지금은 AI가 범죄 네트워크의 생산성을 끌어올리고 있다. 공격자는 5분 만에 피싱 캠페인을 만들고 딥페이크로 신뢰를 만들며 합성 신원으로 계좌를 열고 자율형 AI 에이전트로 피해자와 대화를 이어간다.
크롤러 반복 요청도 못 막는
업자들이 자칭 보안 전문가
고객들의 돈은 통장에서 빠져나가고 기업의 계정은 탈취되며 가짜 음성·가짜 영상·가짜 로그인 화면은 이미 현장에서 돌고 있다. 그런데 월가와 네트워크망 보안업계는 이 현실을 막는 법보다 먼저 공포를 파는 법을 배웠다. "AI가 만든 공격은 AI로만 막을 수 있다"는 구호는 전형적인 팬데믹형 서사다.
팰로앨토네트웍스와 태니엄, 그리고 N2SF 옹호 라인까지 모두 "미토스 대응"과 "AI 보안 골든타임"을 외치고 있다. 그러나 정작 가장 단순한 AI 크롤러의 반복 HTTP 요청조차 제대로 식별·차단하지 못하는 현실은 가려져 있다. 패킷은 분석하면서도 쿼리와 요청 반복성은 이해하지 못하는 구조 속에서 보안업계는 더 비싼 장비와 더 큰 예산을 요구한다.
한국도 다르지 않다. 금융보안원과 금융권은 최근 세미나에서 '미토스형 사이버위협', 'AI 특화 공격', 'AI 안전성·신뢰성' 같은 표현을 앞세우며 위협 대응을 강조했지만, 정작 내용은 기존 망보안·제로트러스트·위협 모델링·가드레일 담론을 AI 용어로 다시 포장한 수준이라는 지적이 나온다.
특히 "미토스형 위협"이라는 표현은 공격 구조의 본질보다 공포 이미지를 먼저 소비시키는 용어 장난이다. 생성형 AI 기반 피싱과 딥페이크, 합성 신원 사기는 이미 현실에서 피해를 만들고 있는데, 평가체계·거버넌스·시범사업·세미나 중심에 머물러 있다.
☞ 크롤러 반복 요청 (Recursive HTTP Request) = 크롤러는 동일한 URL에 반복적으로 HTTP 요청을 보내 "콘텐츠 변경 여부" 를 확인하는 자동화 도구다. 정상 크롤러는 If-Modified-Since 헤더로 "이 시점 이후 변경됐냐" 를 물어보고, 변경 없으면 304(Not Modified) 응답을 받고 끝낸다. 문제는 — 악성 크롤러나 어뷰징 크롤러가 헤더 값을 무작위로 바꿔가며 초당 수십 회 요청을 던질 때다. 보안 장비 입장에서 각 요청은 "정상 HTTP 트래픽" 이다. 출발지·헤더 형식·요청 패턴이 모두 합법적이다. 그러나 같은 URL에 동일 요청이 반복되면 — 백엔드 서버 CPU가 100%에 도달하고, 캐시 스토리지가 풀에 가까워지며, 결국 시스템 다운에 이른다.
여성경제신문 이상헌 기자
liberty@seoulmedia.co.kr
*여성경제신문 기사는 기자 혹은 외부 필자가 작성 후 AI를 이용해 교정교열하고 문장을 다듬었음을 밝힙니다. 기사에 포함된 이미지 중 AI로 생성한 이미지는 사진 캡션에 밝혀두었습니다.
- 국가 배후 증거부터 찾자?···'통장 0원' 불러올 청와대 AI 매뉴얼 - 여성경제신문
- 미국인 통장 AI 해커에 다 털렸는데···韓 '미토스 쇼핑'에 정신 팔아 - 여성경제신문
- 북한이 제미나이 갖고 노는 걸 본 거면서···"잡았다" 자랑하는 구글 코미디 - 여성경제신문
- 자기 회사 코드 50만 줄 흘린 아모데이의 보안데이터 정체 - 여성경제신문
- [분석] "빅테크 믿다 나라 털린다"···AI 보안 '실리콘 성벽'부터 다시 세워야 - 여성경제신문
- 돈은 은행이 대는데···스타트업 대출 심사 눈은 클로드였다 - 여성경제신문
- [기자수첩] 10분에 7개 자해극···정부 '제로데이' 공포 숨바꼭질 - 여성경제신문
- 백악관 '역습'에 美 좌파 매체 '비명'···韓 "미토스 말석이라도" - 여성경제신문
- 딥시크 침공 어쩌라고···美·中 AI 대화에 '미토스 장사' 망했다 - 여성경제신문
- [김현우의 핫스팟] 안보 볼모 잡은 ‘미토스’···코브라 사육장 된 AI 보안 시장 - 여성경제신문