구글, 'AI 가짜 문자' 사기조직에 소송 건다...FBI·통신3사와 손잡고 中 기반 '아웃사이더 엔터프라이즈' 인프라 해체 추진, 가짜 사이트 9000개·피해자 수십만 명

[한국정보기술신문] 구글(Google)이 인공지능(AI)을 이용해 가짜 문자메시지를 대량으로 뿌려 온 사이버범죄 조직을 상대로 소송을 제기하고, 미국 연방수사국(FBI) 및 이동통신 3사와 함께 이 조직의 기반시설을 해체하는 작업에 나섰다. 구글은 6월 12일(현지시간) 공식 블로그를 통해 이 같은 대응 방침을 발표하며, 소송과 수사 공조, 통신사 차단, 입법 추진을 한꺼번에 추진하겠다고 밝혔다. 글은 구글의 법무 총괄(제너럴 카운슬)인 핼리마 딜레인 프라도(Halimah DeLaine Prado)가 작성했다.

구글이 겨냥한 것은 가짜 택배 알림, 다급한 은행 경고, 계정이 도용됐다는 메시지처럼 사람들을 속여 비밀번호와 신용카드 정보를 빼내는 문자 사기다. 이런 사기는 진짜 기관을 사칭한 문자로 이용자를 가짜 사이트로 유인한 뒤 개인정보를 입력하게 만드는 이른바 '피싱(phishing)' 수법에 해당한다. 문자메시지를 이용한 피싱은 흔히 '스미싱(smishing)'으로도 불린다. 구글은 이런 사기 문자 뒤에 AI로 작동하는 사이버범죄 조직이 있다고 보고 대응에 나섰다고 설명했다.

구글이 제기한 민사 소송의 대상은 '아웃사이더 엔터프라이즈(Outsider Enterprise)'로 알려진 조직적 사이버범죄 집단이다. 구글에 따르면 이 조직은 중국에 기반을 두고 메신저 텔레그램(Telegram)을 통해 활동하면서, 구글을 비롯한 신뢰받는 유명 브랜드를 사칭하는 가짜 문자 캠페인을 손쉽게 뿌릴 수 있게 해 주는 '피싱 키트(phishing kit)'를 유통해 왔다. 피싱 키트란 가짜 웹사이트와 사기 문자 양식 등을 한데 묶어, 전문 지식이 없는 사람도 곧바로 사기 범죄에 쓸 수 있도록 만든 일종의 범죄 도구 모음을 말한다.

구글은 이 조직의 활동 규모가 막대하다고 밝혔다. 구글이 공개한 수치를 보면, 수십만 명에 이르는 피해자가 금전적 사기를 당했으며 그 피해액은 수백만 달러에 이르는 것으로 추정된다. 또 이 조직과 연결된 가짜 웹사이트가 9000개, 사기성 인터넷 주소(URL)는 100만 개가 넘는 것으로 파악됐다. 인터넷 주소(URL)란 웹사이트의 위치를 나타내는 인터넷상의 주소를 가리킨다.

문자 발송 규모도 컸다. 구글에 따르면 지난 5월 단 2주 동안 안드로이드 이용자들이 스팸으로 신고한 문자가 5만 5000건에 달했는데, 이는 1분에 두 건이 넘는 신고가 접수된 셈이다. 같은 2주 동안 이 조직이 안드로이드 이용자들에게 보낸, 자신들이 만든 가짜 사이트로 연결되는 링크가 담긴 메시지는 250만 건에 이르는 것으로 집계됐다.

이런 사기가 위험한 이유는 피싱 키트가 범죄의 문턱을 크게 낮추기 때문이다. 과거에는 가짜 사이트를 만들고 문자를 대량으로 보내는 데 어느 정도의 기술이 필요했지만, 도구가 묶음으로 거래되면서 전문 지식이 없는 사람도 손쉽게 사기에 가담할 수 있게 됐다. 여기에 AI가 더해지면서 사기 문자의 문장이 더 자연스러워지고, 진짜 기관이 보낸 안내처럼 정교해져 이용자가 가짜와 진짜를 구별하기가 한층 어려워졌다는 것이 구글과 수사기관의 공통된 진단이다. 한 조직이 만든 도구가 여러 범죄자에게 퍼지는 구조이다 보니, 가짜 사이트와 인터넷 주소가 단기간에 수만 개에서 수십만 개 단위로 늘어나는 점도 대응을 어렵게 하는 요인으로 꼽힌다.

구글은 소송과 함께 FBI와 공조해 법 집행 조치를 진행하고, AT&T·T모바일·버라이즌 등 미국 이동통신 3사와 협력해 이런 사기 문자가 이용자에게 도달하기 전에 차단하는 작업을 이어 가겠다고 밝혔다. 구글은 소송만으로는 이 문제를 끝낼 수 없다며, 이런 보호 조치를 영구적인 제도로 만들기 위해 연방 차원의 입법도 함께 추진하겠다고 설명했다.

입법과 관련해 구글은 AI로 만들어진 사기를 포함한 각종 사기에 대응하기 위한 7건의 초당적 법안을 지지한다고 밝혔다. 초당적이란 특정 정당에 치우치지 않고 여야가 함께 추진한다는 뜻이다. 대표적으로 거론된 법안은 '스톱 스캠스 법(Stop SCAMS Act)'으로, 법 집행기관과 정부, 산업계를 한데 모아 사기 범죄에 대응하는 체계를 만드는 것을 목표로 한다.

구글은 AI로 만들어진 사기에 맞서 AI 기반 도구로 대응하고 있다고도 설명했다. 안드로이드(Android) 운영체제에는 통화 중 의심스러운 대화나 연락처를 이용자에게 경고하는 사기 탐지 기능이 들어가 있으며, 메시지 앱에 기본 탑재된 방어 기능은 매달 100억 건이 넘는 악성 메시지를 걸러낸다고 밝혔다. 구글은 강력한 보안 방어와 적극적인 법적 대응을 결합해 사기범에 맞서고, 모두에게 더 안전한 인터넷을 만들어 가겠다고 강조했다.

이번 발표에는 수사기관과 통신사, 의회 인사들의 입장도 함께 담겼다. FBI 사이버수사부의 브렛 리더먼(Brett Leatherman) 부국장보는 "범죄자들이 갈수록 AI를 이용해 사기를 더 그럴듯하고 적발하기 어렵게 만들고 있다"며 "구글 같은 파트너와 함께라면 어느 한 조직도 단독으로는 해낼 수 없는 방식으로 범죄 네트워크를 무너뜨릴 수 있다"고 밝혔다.

법안을 발의한 브라이언 피츠패트릭(Brian Fitzpatrick) 하원의원은 "이것은 스팸이 아니라 우리 휴대전화를 통해 움직이는 조직적 초국가 범죄"라며 위협만큼이나 공조되고 적극적인 대응이 필요하다고 강조했다. 조시 하더(Josh Harder) 하원의원도 "국제 사이버범죄자들이 가족들의 힘들게 모은 돈을 빼앗고 있다"며 영구적인 해법이 필요하다고 밝혔다.

통신사들도 협력 의사를 내놨다. AT&T의 리치 바이크(Rich Baich) 최고정보보안책임자(CISO)는 자사가 AI를 활용해 매달 수십억 건의 자동전화와 스팸 문자를 차단하고 있다며, 사기 대응에는 업계 공동의 방어가 필요하다고 말했다. T모바일의 제프 사이먼(Jeff Simon) 최고정보책임자(CIO)는 "사기범들이 더 빠르게 움직이고 더 정교한 도구를 쓰고 있어 여러 방면에서 맞서고 있다"고 밝혔고, 버라이즌의 나스린 레자이(Nasrin Rezai) CISO는 "기술적 방어만으로는 충분하지 않다"며 적극적인 법적 대응과 정부 협력을 함께 강조했다.

다만 이번 발표는 소송을 제기한 구글 측의 자료라는 점에서 신중하게 볼 필요가 있다. 피해 규모와 문자 발송 건수, 조직의 실체 등 구글이 제시한 수치와 주장은 아직 법원의 판단이나 제3의 기관을 통한 독립적 검증을 거친 것이 아니다. 또 소송 상대로 지목된 '아웃사이더 엔터프라이즈' 측의 입장은 알려지지 않았으며, 민사 소송인 만큼 실제 조직 해체와 책임 규명까지는 법적 절차가 더 필요하다. 아울러 이번 조치는 미국 내 통신·수사 환경을 전제로 한 것으로, 국내의 스미싱 대응에 곧바로 적용하기는 어렵다는 점도 함께 짚어 둘 필요가 있다.