AI 기반 보이스피싱은 ‘사회적 재난’

AI 기반 보이스피싱 범죄, 기술·심리·제도 등 총체적 대응 필요성 제기

“목소리에 말투, 심지어는 숨소리까지 똑같습니다. 통화하는 상대가 인공지능(AI)인지 사람인지 전혀 구분할 수 없습니다. 가족도 못 알아봅니다. AI로만 구분할 수 있는 시대가 오고 있습니다.”

3일 세종대학교 광개토관에서 열린 ‘제14회 한국인터넷거버넌스 포럼‘에서 정수민 아마존웹서비스(AWS) AI 보안 아키텍트가 한 발언이다. 이날 포럼에서는 ‘AI 기반 보이스피싱의 진화와 디지털 신뢰 체계의 위협’에 대한 전문가들의 심도 깊은 발제가 진행됐다.

이날 포럼에 참석한 전문가들은 ”생성형 AI 기술의 발전이 금융범죄에 활용되는 수준을 넘어, 디지털 세상에서 서로의 신뢰를 위협하는 사회적 재난으로까지 확산되고 있다”고 목소리를 모았다.

최근 보이스피싱은 딥보이스(Deep Voice) 기술로 진화하고 있다. 몇 초의 음성만으로 특정인의 목소리를 복제해, 가족이나 지인을 사칭하는 데 악용되고 있다. 딥보이스는 억양, 호흡, 침묵까지 복제할 수 있다. 게다가 이제는 발신번호 조작 기술까지 결합돼 피해자는 실제 가족이나 지인으로 믿고 속아 넘어갈 수 밖에 없다.

글로벌 보안 기업 크라우드스트라이크가 발표한 ‘2024년 글로벌 위협 보고서‘에 따르면, 2023년 상반기 49건이었던 AI 기반 보이스피싱 범죄는 하반기 266건으로 약 5배 증가했다. 또한, 보안 기업 ‘슬래시넥스트(Slach Next)‘가 발표한 ‘2023년 피싱 현황 보고서‘는 챗GPT가 출시된 2022년 3분기부터 2023년 3분기까지 약 1년간 피싱 이메일이 1265% 늘었다고 분석했다.

보이스피싱, 고도화된 AI로 ‘심리 공격‘ 강화

이날 패널로 참여한 최다연 유럽사이버범죄센터(EC3) 자문위원은 “AI 기반의 보이스피싱은 인간의 감정을 취약점으로 삼아 정밀하게 공격한다”며 “공포와 불안감을 교묘히 자극해 피해자의 이성적 판단을 저해한다”고 말했다.

최 자문위원은 보이스피싱에 대한 심리적 대응 체계의 중요성을 강조하며, 이를 잘 구축하고 있는 해외의 여러 사례를 들었다.

“영국은 ‘액션 프로드(Action Fraud)’라는 시스템을 통해 피해자가 수사 과정을 실시간 확인할 수 있게 하며, 피싱 이메일 차단률을 72%까지 높였다“며 “또한, 싱가포르의 ‘스캠쉴드(ScamShield)’ 앱은 AI를 이용한 실시간 분석으로 5만건 이상의 보이스피싱 전화를 자동 차단했다“고 설명했다.

그러면서, “한국은 아직 보이스피싱 범죄에 대해 심리 기반 대응 체계가 초기 단계에 머무르고 있다“고 지적했다.

이어 “국내에서 심리적 공격을 실시간으로 막을 수 있도록 설계된 ‘사용자 인터페이스(UI)‘, 보안 기술·정책과 데이터의 신속한 연동이 필요하다”며 “신고와 동시에 즉각적으로 보이스피싱에 대응이 가능한 구조로 전환해야 한다”고 강조했다.

생성형 AI 악용한 보이스피싱, 빠르게 진화

“생성형 AI의 기술력을 악용한 보이스피싱의 수준은 이제 상상을 초월합니다.“

또 다른 패널인 정수민 아마존웹서비스(AWS) AI 보안 아키텍트는 “단 3~5초 음성만 수집해도 목소리 복제가 충분히 가능하다”며 “SV2TTS, VITS, yourTTS 같은 AI 기반의 음성합성 모델들은 사람의 억양·감정까지 재현할 수 있다”고 설명했다.

이어 “특히, 생성형 AI가 고도화되면서 보이스피싱은 더욱 정교해지고 있다“며 “사람과 똑같은 말투로 택배사, 병원, 공공기관 등을 사칭한 스미싱 문자까지 자동으로 생성하면서, 구별이 갈수록 어려워지고 있다“고 우려했다.

특히, 정 아키텍트는 대표적인 보이스피싱 대응 기술로 국내 이통3사의 사례를 소개했다. 현재 이통3사는 각자 개발한 AI 기반 보안 기술을 적용해 보이스피싱에 대응하고 있다.

LG유플러스는 ‘안티딥보이스(Anti-Deep Voice)’ 기술을 개발해 자사 AI 서비스 ‘U+지니톡’ 등에 적용하고 있다. 이 기술은 음성 위·변조를 실시간으로 탐지하는 AI 기반 시스템으로, 보이스피싱 시도를 사전에 차단하는데 초점을 맞췄다. 사용자가 전화를 받을 때, 음성이 의심될 경우 경고 알림을 제공해 피해를 예방한다.

SK텔레콤은 ‘스캠뱅가드(ScamBang Guard)’ 기술을 통해 보이스피싱 통화에 선제 대응하고 있다. AI가 통화 중 발생하는 언어 패턴과 금융 관련 발화를 실시간 분석해 보이스피싱 가능성이 높다고 판단되면 사용자에게 경고 메시지를 띄우고, 필요 시 수신 차단까지 유도한다. 이 기술은 IBK기업은행 등 금융사와의 협업을 통해 금융결제망에도 연동돼 있다.

KT는 자사의 후후앱에 AI 음성인식과 자연어처리(NLP) 기술을 결합해, 통화 도중 감지되는 위험 단어·문맥을 분석하고 즉각 사용자에게 알림을 전송하는 ‘AI 보이스피싱 탐지 및 알림 서비스’를 상용화했다. 이 기능을 통해 보이스피싱 신호를 조기에 포착해 고위험 번호를 사전에 블록 처리하는 기능도 운영하고 있다.

정 아키텍트는 “보이스피싱를 더 정확하게 탐지하기 위해 AI 워터마킹 기술을 산업 표준으로 법제화하고, 통신사·메신저앱·금융 플랫폼 간 실시간 데이터를 연동하는 체계를 마련해야 한다”고 강조했다.

NFC 악용 등 신종 금융사기 등장…공공·금융 인프라까지 노려 

금융결제망을 악용한 금융범죄 사례도 소개됐다. 또 다른 패널인 강대규 금융보안원 수석은 “올해 초에는 근거리무선통신(NFC) 기능을 악용한 사건이 새롭게 등장했다“며 “이 수법은 피해자의 스마트폰에 설치된 악성앱이 실시간 결제 정보를 가로채, 부정 결제를 수행하는 방식“이라고 설명했다.

이어 “자동화출금기기(ATM) 근처에서 NFC 신호를 수신해 출금에 악용한 실제 사례도 있다. 오프라인 결제 환경도 더 이상 안전지대가 아니다”며 “이런 위협에 대응하기 위해 ‘이상금융거래정보 공유 시스템(FISS)‘를 통해 금융기관 간 위협 정보를 실시간 공유하고, 악성앱·피싱사이트 탐지 시스템도 고도화하고 있다”고 덧붙였다.

강 수석에 따르면, 최근 기승하는 금융결제망을 악용한 공격은 단발성 범죄가 아닌 조직화된 방식으로 이뤄진다. 금융사기의 수법이 점점 진화하고 있는 것이다.

이런 위협에 대응하기 위해, 금융보안원은 매년 다양한 주제로 위협 인텔리전스 보고서를 발간 중이다. 특히, 보이스피싱 조직이 활용하는 악성앱의 유포 방식, 위장 수법, 통신·결제 시스템 침투 방법 등을 정밀하게 분석해왔다. 분석에 따르면, 2023년에는 ‘사설 투자 앱(HTS)‘을 위장한 피싱 공격이 급증했고, 2024년 이후에는 피싱에 필요한 기술들을 세분화해 필요할 때 꺼내서 쓰는 식의 복합적인 공격 수법에 많은 피해가 발생하고 있다.

강 수석은 “기술이 아무리 정교해져도 결국 보안의 마지막 방어선은 사람의 인식”이라며 “이용자의 판단력과 보안 인식이 무엇보다 중요하다”고 강조했다. 이어 “강력한 제도적 장치와 함께 금융소비자가 스스로 위험을 인지하고 대응할 수 있는 사회적 교육과 신뢰 기반의 체계를 설계해야 한다“고 말했다.

끝으로, 패널들은 “사람에 대한 교육도 중요하지만, 결국 속지 않을 수 있는 구조를 설계해야 한다“고 의견을 모았다. 보이스피싱으로부터 해방되는 안전한 사회는 기술만으로 이뤄지지 않고 심리, 법, 정책, 기술 등 요소가 유기적으로 연결돼야 한다는 것이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network