"보이스피싱 피해액 사상 첫 1조 돌파…AI가 사기 지능화 주도"

등록 2026.04.01 17:27:50

국회서 '안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나'

AI 피싱 메시지 클릭률 12%→60%…작성 시간은 5분으로 단축

조대곤 교수 "앱 생태계에 자동차·항공 수준의 안전 규제 모델 이식해야"

[서울=뉴시스] 신효령 기자 = 조대곤 연세대 경영대학 교수가 1일 서울 여의도 국회의원회관에서 열린 '안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나'에서 발표하고 있다.

[서울=뉴시스] 신효령 기자 = 국내 보이스피싱 피해액이 사상 처음으로 1조원을 넘어섰다. 모바일 보안 위협이 더 이상 기술 문제가 아니라 국가 안보와 국민 경제를 뒤흔드는 위협으로 부상했다."

조대곤 연세대 경영대학 교수는 1일 서울 여의도 국회의원회관에서 열린 '안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나'에서 이같이 말했다.

이날 세미나는 국회 디지털산업정책포럼 공동대표인 국민의힘 최형두·고동진 의원, 더불어민주당 안도걸 의원, 개혁신당 이준석 의원이 공동 주최했다. 모바일 보안 위협 대응과 정책 방향에 대한 논의가 이뤄졌다.

조 교수는 "안전한 모바일 앱 생태계 조성을 위해 설계 단계부터 모든 접근을 검증하는 기술적 제로 트러스트를 확립해야 한다"며 "정부·기업·소비자가 함께하는 사회적 거버넌스와 새로운 위협에 즉각 대응하는 규제가 결합된 예방적 생태계로의 전환이 시급하다"고 강조했다.

보이스피싱 피해액 사상 첫 1조 돌파…AI가 사기 지능화 주도

조 교수가 제시한 경찰청 통계에 따르면, 지난해 1월부터 10월까지 집계된 국내 보이스피싱 피해액은 사상 최초로 1조원(1조566억원)을 돌파했다. 건당 평균 피해액은 4년 만에 2498만원에서 5290만원으로 약 2배 증가했다.

피해 급증 배경에는 인공지능(AI)의 결합이 있다. AI를 활용한 피싱 메시지는 작성 시간이 수시간에서 5분 이내로 줄어든 반면, 클릭률은 기존 12% 수준에서 최대 60%까지 상승한 것으로 분석됐다.

조 교수는 "AI가 범죄의 속도와 정교함을 동시에 끌어올리고 있다. 공격 AI와 방어 AI가 실시간으로 진화하며 경쟁하는 새로운 사이버 전장이 형성됐다"며 "홍콩의 한 기업 임원이 AI로 생성된 가짜 화상회의에 속아 약 340억원을 송금한 사례는 AI 기반 초개인화 사기가 이미 현실임을 증명한다"고 밝혔다.

[서울=뉴시스] 신효령 기자 = 국회 디지털산업정책포럼 공동대표인 국민의힘 최형두 의원, 고동진 의원, 더불어민주당 안도걸 의원, 개혁신당 이준석 의원 주최로 1일 서울 여의도 국회의원회관 제9간담회의실에서 '안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나'가 열렸다. 2026.04.01. [email protected]

AI는 모바일 악성코드에도 결합되고 있다. 조 교수는 최초의 AI 기반 안드로이드 악성코드로 알려진 '프롬프트스파이(PromptSpy)'를 대표 사례로 들었다.

지난달 발견된 이 악성코드는 온디바이스 AI를 활용해 기기 환경을 스스로 분석하고, 보안 체계를 회피하는 방식으로 작동한다. 기존처럼 정해진 코드만 실행하는 것이 아니라, 실시간 피드백을 통해 공격 방식을 바꾸는 자율형 구조다. 전통적인 보안 체계로는 대응이 어려운 이유다. 조 교수는 '서비스형 악성코드(MaaS)'가 산업화되면서 전문 지식 없이도 국가급 해킹이 가능한 시대가 도래했다고 분석했다.

문제는 위협이 개인 단말기 수준을 넘어 앱 생태계 전체로 확산하고 있다는 점이다. 대표 사례가 '골도손(Goldoson)' 사태다. 2023년 당시 국내 유명 앱 60여개가 악성 SDK(소프트웨어개발키트)에 감염되면서 이용자 위치 정보와 기기 정보 등이 은밀히 수집된 것으로 드러났다. 겉으로는 정상 앱처럼 보이지만, 내부 공급망이 뚫리면 이용자는 피해 사실조차 인지하기 어렵다.

전화망을 악용한 '페이크콜' 수법도 모바일 위협으로 꼽혔다. 피해자가 은행이나 112에 전화를 건다고 생각해도 실제로는 범죄 조직 콜센터로 연결되도록 가로채는 방식이다. 기존의 통신 신뢰 체계 자체를 악용하는 범죄인 만큼 이용자 입장에서는 속수무책일 수밖에 없다.

"자동차·항공 산업처럼…앱 보안도 국가 안전망 수준으로"

조 교수는 현재 모바일 생태계의 구제망이 부족하다고 지적했다. 보이스피싱 피해에 대한 은행의 자발적 보상 비율은 0.8%에 불과하며, 피해 입증 책임이 전적으로 소비자에게 전가되고 있기 때문이다. 특히 피해자의 42.3%가 60대 이상 고령층에 집중되어 있어 인구통계학적 취약성이 심각한 상황이다.

조 교수는 자동차·식품·항공 산업의 안전 규제 모델을 앱 생태계에도 도입할 필요가 있다고 제안했다.

자동차의 유로 NCAP(유럽 자동차 안전도 평가)처럼 앱 보안 수준을 눈에 띄게 보여주는 '앱 보안 등급제'를 도입하고, 식품의 해썹(HACCP)처럼 소프트웨어 구성 요소를 추적·관리하는 '소프트웨어 자재명세서(SBOM)' 체계를 갖춰야 한다고 설명했다. 또 항공 분야의 사고 조사 체계처럼 독립적인 '앱 보안 사고 조사위원회'를 신설해 사고 원인을 독립적으로 규명해야 한다고 강조했다.

조 교수는 "일률적인 규칙 준수 여부만 따지는 방식에서 벗어나야 한다"며 규제 방향도 바뀌어야 한다고 제언했다. "기업이 스스로 보안 역량을 강화하되 사고가 났을 때는 결과에 대한 책임을 분명히 지는 체계로 가야 한다. 이를 위해서는 징벌적 제재와 함께 플랫폼·개발자·정부의 책임 분담 구조도 정교하게 설계할 필요가 있다"고 강조했다.

현재 모바일 보안 정책이 여러 부처에 분산돼 있는 점도 한계로 지적했다. 조 교수는 "정책과 대응을 일원화할 수 있는 통합 조직이 필요하다"며 "보이스피싱과 같은 사건은 초기 대응 속도가 핵심인데, 지금 구조로는 골든타임 확보가 어렵다"고 말했다.

토론에 참여한 전문가들도 사후 수습에 치중했던 기존 보안의 틀을 깨고, 설계 단계부터 선제적으로 대응하는 체계로의 전환이 시급하다고 입을 모았다.

이종혁 과학기술정보통신부 정보보호산업과장은 모바일 앱 생태계의 구조적 위험 요인으로 '소프트웨어 공급망 보안'을 지목했다. 이 과장은 "오픈소스 활용이 확대되면서 보안 취약점이 발생할 가능성도 커지고 있다"며 "정부 차원에서 취약점 발생시 신속히 대응할 수 있는 정보 공유 및 대응 체계를 구축할 계획"이라고 설명했다.

이 과장은 "개인 대상 범죄가 피싱이라면 기업 대상 위협은 랜섬웨어"라며 "모바일 앱 기업 상당수가 스타트업이나 영세 기업으로 구성돼 있어 랜섬웨어 공격에 취약하다. 기업 피해를 최소화하기 위한 전주기 대응 체계를 마련하고 있다"고 밝혔다.

아울러 이 과장은 "보안이 기업의 활동을 제약하거나 비용을 발생시키는 요소가 아니라, 자동차 보험처럼 안심하고 창의성을 발휘할 수 있게 돕는 '안전장치'라는 인식이 확산되어야 한다. 기업들이 안심하고 시장에 참여할 수 있도록 보안 인식 제고를 위한 연구와 정책적 노력을 지속하겠다"고 밝혔다.

경찰청 전기통신금융사기 통합대응단 임용순 경감은 "최근 피싱 범죄는 불특정 다수를 노리는 방식에서 벗어나, 피해자의 생활 패턴과 상황을 정교하게 분석한 맞춤형 시나리오 형태로 진화하고 있다"고 설명했다.

이어 "집에 머무는 시간이 많은 60대 이상 여성에게는 택배 배송을 미끼로 접근하고, 직장 내 통화가 어려운 20~30대에게는 피싱 사이트를 통해 확인을 유도하는 등 치밀한 사회공학적 기법이 활용되고 있다"고 덧붙였다.

범죄에 사용되는 악성 앱의 기술 수준은 공권력의 추적을 따돌릴 만큼 고도화되고 있다. 임 경감은 "피싱 앱은 번호 변작은 물론, 피해자 기기의 카메라와 마이크를 실시간으로 활성화하고 위치 정보와 문자 메시지까지 탈취한다"며 "암호화 수준이 매우 높아 일반적인 분석으로는 기능을 파악하기조차 어렵다"고 밝혔다.

"앱 심사 과정에서는 정상 기능으로 보이지만 실제로는 사기 목적에 활용되는 변형 앱이 증가하고 있어 플랫폼 차원의 대응 강화가 필요하다. 경찰은 주요 플랫폼 기업과 협력해 악성 앱과 계정 차단을 확대하고 있으며, 민관 협력을 강화할 계획"이라며 플랫폼사의 자체 심사 기능 강화와 수사 기관과의 실시간 정보 공유를 당부했다.

◎공감언론 뉴시스 [email protected]