글로벌 보안 솔루션 기업 노드VPN의 황성호 지사장이 지난 28일 마포구에 위치한 위즈경제 본사에서 진행된 인터뷰에서 기자의 질문에 답하고 있다. 사진=위즈경제

[위즈경제] 류으뜸 기자 =금융사기가 인공지능(AI) 기술과 결합하며 더욱 정교해지고 있다. 보이스피싱 등 기존 금융사기 관련한 피해 규모는 감소세를 보이지만 생성형 AI 등 신종 수법이 빠르게 확산되며 새로운 위협으로 떠올랐다. 

글로벌 사기 신고 플랫폼 '체인어뷰즈(Chainabuse)'에 따르면, 최근 1년(2024년 5월~2025년 04월) 사이 생성형 AI를 이용한 사기 신고는 전년 동기 대비 무려 456%나 폭증했다. 이는 직전 연도 증가율인 78%와 비교해도 가늠하기 힘들 정도의 가파른 수치다. 

국내 상황도 다르지 않다. 아직 국내에는 AI를 활용한 사기 범죄의 별도 통계가 공식적으로 집계되지는 않고 있다. 다만 현장에서는 이미 그 위험성이 한계치를 넘었다는 지적이 나온다. 

실제로 지난해 부산에서는 20대가 챗GPT로 진단서를 위조해 1억 5천만 원의 보험금을 편취하다 적발됐고, 마약 사범이 AI로 가짜 탄원서를 작성해 사법 체계를 기망하려다 징역형을 선고받기도 했다. 특히 지난해 적발된 AI 활용 딥페이크 성 착취물은 1,500여 건으로 전체 사이버 성폭력 범죄의 35%를 차지할 만큼 압도적이다.

이 같은 위협에 대응하기 위한 발신자 인증, 라이브니스(liveness) 확인, 등 다양한 대응 수단이 개발되고 있지만 아직 충분히 확산되지 못하고 있고 범죄 전 과정을 차단하는 완전한 보호 체계로 작동하기에는 한계가 있다는 게 전문가들의 지적이다.

이처럼 범죄 양상이 변화하는 가운데 AI가 금융사기에 날개를 달아준 핵심 요인과 해결책을 듣기 위해 위즈경제는 글로벌 보안 솔루션 기업 노드VPN의 황성호 지사장을 만났다.

글로벌 보안 솔루션 기업 노드VPN의 황성호 지사장. 사진=노드VPN
 

◇가짜를 진짜처럼 만든 AI...방어체계는 여전히 제각각

황성호 지사장은 최근 AI가 금융사기에 날개를 달아준 배경으로 기술 자체보다 그럴 듯한 모습만 보고 판단하는 방식이 유지되고 있는 점을 지목했다. 그에 따르면 많은 개인과 조직이 여전히 익숙한 목소리, 실제 같은 얼굴 등 겉보기에 신뢰할 만한 요소를 기준으로 내용의 진위 여부를 판단하고 있다. 

그러나 금융사기범들은 AI를 활용해 이러한 요소를 낮은 비용으로 정교하게 모방하면서 기존의 방어망은 사실상 무용지물이 되고 있다. 그는 "AI는 가짜음성과 영상을 만다는 데 비용을 크게 낮췄고 그 결과 금융 사기 수법이 더 빠르고 더 정교하게 진화하고 있다"고 했다. 

그러면서 "문제의 원인을 AI 기술 자체에만 둘 수 없다"며 "본질은 우리의 취약한 신원확인 체계가 AI라는 강력한 무기와 결합했다는 데 있다"고 지적했다.

여기에 분절된 방어체계도 또 다른 핵심 원인으로 지목했다. 범죄는 여러 단계를 거쳐 하나의 흐름으로 이어지지만 이를 막아야할 주체들은 여전히 따로 움직이고 있다는 것이다.

그는 "사기범들은 소셜 플랫폼에서 피해자를 유인한 뒤 가짜 신원으로 신뢰를 쌓고, 최종적으로 송금까지 유도하는 흐름을 보인다"면서 "반면 이를 막아야 할 은행, 통신사, 보안 기업 등은 전체 과정이 아닌 일부만 파악하는 데 그치고 있다"고 설명했다.

결국 각 기관에 흩어진 정보가 유기적으로 연결되지 못해 대응 속도가 늦어지는 결과를 초래한다는 게 황 지사장의 지적이다. 그는 "(각 기관의) 데이터 공유 속도가 범죄 진행 속도를 따라가지 못하고 책임이 여러 주체로 나뉘어 책임 소재가 분산되면서 피해를 더 키우고 있다"며 "결국 가장 큰 과제는 여러 기관이 실시간으로 협력하지 못하는 구조에 있다"고 밝혔다.

◇"검증체계 강화하고 규제 장벽 허물어야"

황 지사장은 발신자 인증이나 딥페이크 탐지 등 다양한 방어 기술이 개발되고 있으나, 범죄 전 과정을 완벽히 감시하는 '완전한 보호 체계'로 작동하기에는 여전히 현실적 한계가 있다고 짚었다. 

예컨데 발신장 인증은 표시된 번호가 실제 발신 번호인지 확인하는 데 도움을 주는 기술이다. 그러나 번호와 이름이 맞는 것처럼 보여도 통화 상대의 실제 신원과 의도까지 판별하기는 어렵다. 범죄자가 특정 번호를 가장하거나, AI로 목소리와 영상을 조작할 수 있어서다. 황 지사장은 “발신자 인증은 유용한 방어 수단이지만, 그 자체로 모든 사기 행위를 막는 해결책은 아니다”라고 설명했다.

황 지사장이 제시하는 해법은 명확하다. 실질적인 검증 체계를 강화하는 것이다. 그는 △패스키(Passkey)와 다중인증(MFA)과 같은 인증 수단 도입 △악성 링크·위조 웹사이트·사기 전화의 선제적 차단 △도난 데이터 및 개인정보 유출에 대한 조기 경보 체계 구축 △송금이나 계정 변경 요청 시 반드시 별도 채널을 통해 사실관계를 재확인하는 절차 등을 핵심 대응 방안으로 제시했다. 

규제 측면에서의 기관 간의 벽을 허무는 제도적 뒷받침을 주문했다. 그는 "책임 소재를 보다 명확히 가릴 수 있는 기준, 신속한 협업체계, 이용자 불편을 최소화하면서 사기를 조기에 차단할 수 있는 표준 마련이 필요하다"고 제언했다. 금융 사기 범죄자들이 국경과 산업을 넘나들며 유기적으로 움직이고 있는 만큼 방어 체계 역시 더욱 긴밀하게 연결되어야 한다는 지적이다.

황 지사장은 이용자 차원의 대응 원칙도 강조했다. 그는 "무엇보다 긴급함에 휩쓸리지 말고, 겉으로 보이는 정보만으로 판단하지 않은 채 반드시 별도의 경로로 사실을 확인해야 한다"고 말했다. 

또한 피해를 최소화하기 위해 기본적인 보안 습관도 필요하다고 강조했다. 서비스마다 다른 비밀번호를 사용하고, 패스키나 다중인증을 적용하는 한편, 의심스러운 링크나 첨부파일은 열지 않아야 한다는 것이다. 

그는 "조금이라도 이상 징후를 느낄 경우 즉시 계정을 점검하고 관련 기관에 신고하는 등 초기 대응이 중요하다"고 덧붙였다.

◇고령층 접근성 우려? "복잡한 절차 없이 켜두기만 하면 돼"

황 지사장은 패스키 인증 등 검증 체계 강화가 고령층이나 디지털 접근성이 낮은 이용자에게 장벽이 될 수 있다는 우려에 대해 “오히려 더 필요한 보호 장치가 될 수 있다”고 말했다. 복잡한 절차를 줄이고 서비스를 켜두는 것만으로 의심 링크나 위험 사이트 접근을 경고할 수 있다면, 가짜와 진짜를 구별하기 어려운 이용자에게 실질적 도움이 된다는 설명이다.

황 지사장은 금융사기 피해가 단순히 링크를 누르는 순간 완성되는 것은 아니라고 짚었다. 피해는 주로 진짜처럼 꾸며진 사이트에서 카드 정보, 주민등록번호, 신분증 사진 같은 민감한 정보를 입력할 때 커진다. 그는 “위험 사이트가 열리는 시점에 경고를 띄워 추가 입력을 막는 것이 중요하다”며 “이런 기능은 디지털 소외계층에게도 유용한 보호 수단이 될 수 있다”고 설명했다.

끝으로 그는 "금융사기를 사용자 개인의 책임만으로 돌릴 수 없다" 금융사기 대응을 위해서는 보안 기술 고도화와 이용자의 기본적인 보안 습관, 나아가 산업 전반의 긴밀한 협력이 함께 이뤄져야한다"고 말했다.

[당신이 잠든 사이에도 작동하는 디지털 방패, 노드VPN]

노드VPN은 이처럼 고도화되는 금융사기 위협 속에서 이론적 논의를 넘어 실질적인 ‘디지털 방패’ 역할을 수행하고 있다. 황 지사장은 보안 대응의 중심을 사후 복구에서 사전 예방으로 옮기는 것을 자사의 궁극적인 목표로 꼽았다.

황 지사장은 전통적인 보안 솔루션 기업과 비교한 노드VPN의 경쟁력으로 ‘선제적 보호 체계’를 꼽았다. 기존 백신이 주로 기기 감염 이후 악성 파일을 탐지하고 제거하는 방식에 초점을 맞췄다면, 노드VPN은 이용자가 실제로 마주하는 사기 위협을 감염 이전 단계에서 막는 데 무게를 두고 있다는 설명이다.

실제로 이곳은 사용자가 위협에 노출되기 전, 여러 보안 계층에서 위험을 걸러주는 다층 방어 시스템을 제공한다. 의심스러운 메시지에 대응하기 전 위험 여부를 판단하는 ‘스캠 검사기(Scam Checker)’와 사기 전화를 실시간 탐지해 경고하는 ‘안심 통화 보호(Call Protection)’가 1차적인 차단막 역할을 한다.

이미 데이터가 노출된 경우에도 피해를 최소화할 수 있는 장치를 마련했다. ‘다크 웹 모니터링(Dark Web Monitor)’을 통해 개인정보 유출 여부를 즉각 알려 사칭 범죄를 조기에 인지하도록 돕는 방식이다. 

황 지사장은 “여기에 ‘위협 방지(Threat Protection) Pro’ 기능과 패스키 등 강력한 보안 습관이 결합되면 사기 시도가 사용자에게 도달할 가능성 자체가 줄어든다”며 “설령 위협이 도달하더라도 실제 피해로 이어질 확률을 획기적으로 낮추는 것이 실질적인 보호의 핵심”이라고 강조했다.

프라이버시 보호도 차별점으로 제시했다. 황 지사장은 “노드VPN은 노로그 정책을 바탕으로 최소한의 고객 정보만 수집하고, 불필요한 이용자 데이터는 저장하지 않는다”며 “기업들이 마케팅 효율보다 개인정보 보호를 더 우선해야 한다”고 강조했다.

VPN을 평가하는 기준도 달라지고 있다. 단순히 접속 국가를 바꾸는 기능이나 가격, 속도만으로는 충분하지 않다. 금융사기와 개인정보 유출 위험이 커진 만큼 VPN 추천 기준은 암호화 수준, 개인정보 보호 정책, 피싱·스캠 차단 기능, 계정 보호 역량까지 넓어져야 한다.

사진=노드VPN
 

★패스키(Passkey)

비밀번호를 입력하는 대신 스마트폰의 지문, 얼굴 인식, PIN 등 기기 잠근 인증을 활용해 웹사이트나 앱에 로그인하는 차세대 비밀번호 없는 인증 기술.

★다중인증(MFA)

 비밀번호 외에 추가적인 인증 요소(SMS 코드, 지문, 보안 키 등)를 조합하여 사용자의 신원을 확인하는 강화된 보안 방식.아이디와 비밀번호만으로 부족한 보안성을 강화해 해커의 접근을 효과적으로 방지하는 기술로 평가받는다.