(서울, 2023년 4월 19일) 글로벌 사이버 보안 기업 프루프포인트(Proofpoint)는 대화형 스캠에 대한 새로운 연구 결과를 발표했다. 연구에 따르면, 2022년 가장 빠르게 증가한 사이버 위협은 신뢰관계를 이용한 대화형 스캠(conversational scams)으로 나타났다. 대화형 스캠은 피해자의 신뢰를 얻어낼 때까지 친분을 쌓기 위한 사전 작업이 지속된다는 점에서 대화형 피싱이나 맬웨어 공격과 차이가 있다. 자사 데이터에 따르면, 이러한 신종 수법은 신고 건수 기준으로 12배나 증가했고, 문자메시지(SMS)와 채팅 앱, 소셜미디어(SNS) 등 다양한 플랫폼에서 확인되고 있다.
대화형 스캠은 기존 택배 배송 메시지를 이용한 공격이나 사용자 도용(impersonation), 이외 다양한 버티컬 사기 유형을 제치고 가장 높은 비중을 차지했다. 올해 1분기에도 대화형 스캠은 지속 증가 추세를 보이고 있다.
2022년 대화형 스캠 증가 추이
프루프포인트는 작년 블로그 포스팅에서도 대화형 이메일 공격 급증을 다룬 바 있다. 이메일·모바일 상으로 공격자와 피해자는 일상적인 메시지로 소통을 시작한다. 일단 피해자의 경계심이 느슨해지면 공격자는 수일에서 수주 동안 사기 목적과는 무관한 내용으로 스스럼없이 문자 소통을 한다. 그리고 나서 피해자의 정보나 금전, 개인정보 유출을 본격 시도한다.
이러한 수법은 사회공학의 일종이다. 숙련된 공격자들이 가능한 많은 희생자를 확보하여 미끼를 던지기 위해 방대한 모바일 통신 영역을 종횡무진한다. 이렇게 볼 때, 대화형 스캠은 인터넷 초창기 선금 사기(advance-fee fraud)와 같은 양상을 띄고 있다. 이러한 유형의 위협에서는 이메일에 생판 모르는 사람의 투자나 유산 상속 정보를 빼내면 그 대가로 큰 보상을 주겠다는 스팸메일이 넘치게 된다. 시대가 바뀌면서 이메일 전송 메커니즘이 달라졌고, 약속하는 대가가 금이 아닌 이더리움 비트코인이 되었다는 차이가 있을 뿐이다.
일상적인 대화의 결말은 엄청난 피해
금전적 목적이든 국가 배후의 공격이든 이메일·모바일 대화형 스캠이 넘쳐난다는 것은 그만큼 이 사기 수법이 효과적이라는 뜻이다. 오늘날 모바일 메시지가 보편화되어 있고, 새 메시지 도착 후 몇 분 안에 확인하는 사람들도 많다 보니 주된 사이버 위협 수단으로 악용되고 있는 것이다.
작년 한 해만 해도 암호화폐 투자자들의 손실이 눈덩이처럼 불어나 '돼지도살(pig butchering)'로 알려진 다양한 사이버 위협이 수차례 언론에 대대적으로 보도되었다. '돼지도살'이라는 용어 자체는 중국에서 유래했지만, 미국 연방수사국(FBI)은 돼지도살 사기 피해자가 미국에서도 급증했다고 밝혔다. 2022년 미국에서 발생한 암호화폐 사기 피해액은 30억 달러를 넘어섰고, 돼지도살이 주원인을 이루고 있다. 물론 로맨스 스캠, 취업 사기나 기존의 다양한 대화형 위협도 사이버공격의 주범으로 남아있다.
로맨스 스캠 사례: 친밀한 대화 중 비트코인을 보내달라고 종용하여 2500달러 수령
이러한 사기 수법들은 금전적 손해와 함께 상당한 인적 비용도 수반한다. 돼지도살과 로맨스 스캠 모두 피해자 입장에서 감정적 소모가 상당하다. 친밀감으로 쌓은 신뢰를 악용하기 때문에 현실적인 금전적 손해뿐만 아니라 피해자가 느끼는 당혹감과 굴욕감은 더욱 커질 수밖에 없다.
그렇다면 공격자들의 실태는 어떨까? 돼지도살 사기 조직들이 인신매매 피해자를 사기에 동원하고 있다는 증거들이 속속 나타나고 있다. 자사 연구가 진행되는 동안 실제 사기 수법을 알아보기 위해 대화형 스캠 공격자들을 접촉했다. 앤디(Andi)라는 한 여성 역시 대화형 스캠에 연루된 사람이었다. 자신이 중국 출신이라는 사실을 서서히 공개했고, 중국어 비밀메시지를 전송하기 위해 메시지 제거 툴까지 사용해서 영어로 전송했다. 문자를 주고받으면서 은연중에 현재 캄보디아에 있다는 점도 내비쳤다. 캄보디아는 돼지도살 조직 다수가 본거지로 삼고있는 국가다.
물론 앤디가 밝힌 내용 중 어디까지가 사실인지는 알 길이 없고, 대부분의 사기가 동정심 유발로 시작되는 것도 맞다. 그런데 이러한 사기가 계속 횡행한다면, 상당 규모의 인력이 필요하기에 관련 조직들은 인신매매와 현대식 노예제도까지도 동원할 가능성이 농후하다.
인공지능(AI) 기반 돼지도살(pig butchering)
한편, 최근 요구사항에 맞게 결과를 도출하는 생성형 AI가 진보하면서, 대화형 스캠이 반드시 인력에만 연연하지 않게 될 여지도 있다. 챗GPT, Bing Chat, Google Bard 등 다양한 챗봇이 이미 나와 있다. 앞으로는 문맥에 따라 추리과정을 보여주고, 설득 작업까지 시도하는 더욱 고도화된 챗봇이 등장할 것으로 전망된다. 난해한 세법과 투자상품을 이해하도록 훈련받은 AI봇이 등장해서 사기 수법이 더욱 치밀해지고 수많은 피해자를 양산할 가능성이 있다.
좌측) 일반적인 돼지도살 사기 사진, 우측) 유사해보이지만 AI 소프트웨어 Midjourney를 이용해 게시용으로 만든 사진
일반인을 촬영한 사진을 특수 이미지로 생성하는 모델과 함께 대화형 스캠 공격자들은 머지않아 AI를 완벽한 공범으로 삼아 피해자 유인에 필요한 자산을 끊임없이 만들어낼 수 있다. AI 기반으로 음성·영상 콘텐츠를 합성하는 딥페이크 기술(deepfake technology)도 발전을 거듭하고 있어, 단순한 문자·통화 수준에서 순식간에 기술적으로 도약할 수 있다. 돼지도살 사기 수법은 점점 치밀해질 것이다.
이는 공격자·피해자 할 것 없이 빠르게 변모하고 있는 사이버공격의 단면으로서 사회적 파장이 큰 문제다. 직접 대화형 스캠 공격자들을 접촉하여 수법을 알아내는 등 관련 분야에서 지속적으로 연구활동을 펼쳐온 프루프포인트 아담 맥닐(Adam McNeil) 사이버 위협 수석 연구위원(senior threat research engineer)의 팟캐스트 Discarded에서 더 자세한 내용을 알아볼 수 있다.
프루프포인트 아담 맥닐(Adam McNeil) 사이버 위협 수석 연구위원(senior threat research engineer)은 “문자·소셜미디어를 통해 이루어지는 대화형 스캠은 특히 우려할 만한 문제이다. 타깃이 된 희생자에게 길게는 수주에 걸쳐 시간과 노력을 들여 접근하고, 친밀하고 스스럼없는 대화로 시작해서 사기에 끌어들이기 때문에 기술적 방어나 인적 견제를 피해 가기가 쉽다”며, “공격 수법이 매우 다양하기 때문에 모르는 사람이 보낸 메시지는 주의를 기울여야 한다”고 말했다.