[보안칼럼] 피싱 범죄, 금융·통신 공동 대응 필요

보이스피싱 피해에 대해 금융사의 무과실 배상 책임을 도입하는 '통신사기피해환급법' 개정이 화제다. 해당 법안은 금융사의 고의나 과실 여부와 관계없이 일정 요건을 충족한 피해에 대해 배상 책임을 부과하는 것이 핵심이다.

경찰청 통계에 따르면 지난해 12월 기준 연간 보이스피싱 피해액은 1조원을 넘어섰고, 건당 평균 피해액도 5290만원에 이른다. 범죄 수법도 고도화되면서 이용자 개인의 예방 노력만으로는 대응하기 어려운 수준이다.

현재의 피싱 범죄 생태계는 범죄 기획 총책을 중심으로 악성 애플리케이션(앱) 개발, 개인정보 공급, 콜센터 등이 유기적으로 결합한 조직 구조를 갖추고 있다. 범죄에 사용되는 악성 앱도 스마트폰의 거의 모든 권한을 장악할 수 있을 만큼 지능화됐다. 연락처나 통화 이력 탈취는 물론, 금융 거래에 필수적인 일회용비밀번호(OTP)와 인증번호를 가로챈다. 카메라를 강제로 구동해 피해자의 상황을 실시간으로 모니터링하거나 화면 미러링 기술로 계좌 비밀번호 입력을 훔쳐보고, 수·발신 전화를 가로채 경찰 신고 경로를 차단하기도 한다.

이러한 범죄는 결국 통신, 금융 등 일상 속 인프라를 통해 확산된다. 악성 URL을 전파하는 데 통신 및 문자 발송 서비스가 이용되고, 피해자의 자금을 탈취하기 위해서는 금융 서비스를 거쳐야 한다. 이들 서비스 제공 기업이 피싱 범죄 예방에 적극적인 역할을 수행해야 하는 이유다.

우선, 범죄의 시발점이 되는 문자 발송 업체와 이동통신사의 선제적 역할이 필요하다. 스미싱 문자가 유포되는 단계에서 악성 URL을 사전에 탐지, 차단하는 기능을 강화해야 한다.

기존에는 악성 URL 신고를 기반으로 검증 및 차단을 진행했다. 이러한 방식은 단시간에 생성되고 사라지기를 반복하는 스미싱 범죄에 신속히 대응하는 데 한계가 있었다. 최근에는 인공지능(AI) 기술을 도입해 단축 및 변조 URL까지 분석하고, 악성 여부를 빠르게 자동으로 판별·필터링하는 시스템을 구축할 수 있게 됐다.

금융거래의 상당수가 휴대폰을 통해 이뤄지므로 금융사 역시 중요한 역할을 할 수 있다. 특히 근본적인 보이스피싱 범죄 근절을 위해서는 개별 금융사가 수집·분석한 악성 앱 및 URL 정보를 국가 차원의 피싱 범죄 대응 기관과 공유해 그 체계를 고도화하는 작업이 필요하다.

이제는 단순 신고나 단편적인 데이터 공유 차원이 아닌, 대응 속도와 정보의 질을 고려한 기술적인 연대가 필요한 시점이다. 금융권은 이미 '보이스피싱 정보 공유 분석 AI 플랫폼' 출범과 함께 피싱 범죄에 대한 금융권 및 관계 기관, 수사당국의 공동 대응 모델을 제시한 바 있다.

이러한 공동 대응 모델이 실효성을 갖기 위해서는 플랫폼에 참여하는 개별 금융사가 악성 위협에 대한 자체 대응 역량을 갖추어야 한다. 각 금융사에서 보낸 악성 앱과 URL을 중앙에서 취합·분석하고, 금융사가 다시 그 정보를 받아 보안 시스템에 적용하는 방식은 위협 탐지에서 대응까지 긴 시간이 소요된다. 반면 각 금융사가 악성 앱 및 URL에 대한 분석 결과를 직접 공유한다면 이 시간을 획기적으로 단축될 것이다.

고도화된 분석 역량을 갖춘 금융사들은 지능형 악성 앱이나 신·변종 위협까지도 놓치지 않고 더 많은 정보 공유가 가능하다. 유관 기관에서는 금융사가 보내온 양질의 데이터를 바탕으로 공격자 그룹에 대한 프로파일링이나 접속 차단, 명령·제어(C&C) 서버 폐쇄 등 범죄의 근원을 차단하는 조치를 더욱 신속히 진행할 수 있다.

이처럼 각 계의 노력이 긴밀히 맞물릴 때 비로소 안전한 디지털 생태계가 완성된다. 이를 장려하기 위해 사회 안전망 구축에 기여한 기업에는 '선량한 관리자로서 의무'를 다 했음을 인정해 혜택을 제공한다면 도움이 될 것이다. 산업의 경계를 넘어선 유기적 협력 체계가 자리 잡아 우리 사회의 가장 강력한 디지털 신뢰 자산이 되기를 기대한다.

고봉수 시큐리온 대표 bsko@securion.co.kr