[보안뉴스]올해 피싱 피해 사상 최대...경찰, 5개월간 집중단속 돌입

내용 요약

2023년 1~7월 보이스피싱·스미싱 범죄가 총 16,561건 발생하며 7,992억원(≈7천억원) 피해를 입은 가운데, 전년 대비 14%·95% 증가했다. 이에 따라 경찰은 9월 1일부터 5개월간 대대적인 피싱 범죄 특별단속을 시작하였다. 본 문서에서는 보이스피싱과 스미싱이 어떻게 수행되는지, 사용되는 기술과 대응 방안을 상세히 다룬다.

핵심 포인트

• 피싱 범죄 규모: 2023년 1~7월 보이스피싱·스미싱 피해액 7,992억원, 발생 건수 16,561건.
• 증가 추세: 전년 대비 14%·95% 상승, 이는 기술적 진화와 사회적 변동의 반영.
• 특별단속: 경찰이 9월 1일부터 5개월간 대대적인 범죄 단속을 수행.
• 주요 기술: 악성 링크, SMS 스푸핑, 보이스 스푸핑, 딥페이크 음성합성, AI 기반 메시지 자동화.
• 대응 전략: 실시간 모니터링, 머신러닝 기반 스팸 차단, 사용자 교육, 법적 제재 강화.

기술 세부 내용

1️⃣ 보이스피싱 (Voice Phishing)

• 정의: 사기꾼이 전화(또는 음성 메신저)를 통해 피해자에게 접근, 신원 도용 및 자금 탈취를 시도.
• 핵심 기술
  • 보이스 스푸핑 (Voice Spoofing): 사기꾼이 특정 기관(은행, 공공기관) 음성 파일을 복제하거나 AI 음성 합성 기술(Deepfake)를 사용해 진짜 같은 목소리를 생성.
  • 딥페이크 음성합성: 최신 딥러닝 모델(예: WaveNet, Tacotron)을 통해 정교한 음성 재현, 인지 가능성을 낮춤.
  • 스크립트 자동화: NLP 기반 챗봇이 실시간 대화 스크립트를 생성해 사기 진행, 사람의 감정 변화를 인식해 대응.
• 공격 흐름
  1. 목표 선정: 소셜 엔지니어링 기법으로 연락처 수집(데이터 유출, 소셜 미디어).
  2. 프리팩킹(Pre‑warming): 작은 금전 거래를 유도해 신뢰 확보.
  3. 본 사기 단계: 실제 기관을 사칭해 계좌 이체 요청, 정밀 사기 시나리오 제시.
  4. 탈취 후 회피: 자금 이체를 즉시 진행, 계좌 비활성화, 변조된 전화번호 사용.
• 감지·방지 기법
  • 음성 인식 기반 검증: AI 모델이 스푸핑 음성 탐지(특징 분석, 딥러닝 분류).
  • 통화 기록 모니터링: 특정 패턴(긴 대기, 반복적 요청) 탐지.
  • 실시간 경고 시스템: 은행, 통신사와 협업해 의심 통화 즉시 차단.

2️⃣ 스미싱 (Smishing)

• 정의: SMS(또는 모바일 메신저)를 통해 링크나 악성 파일을 전달, 피싱 사이트나 악성코드 설치 유도.
• 핵심 기술
  • SMS 스푸핑: 송신자 번호 조작(SMS spoofing)으로 공식 기관 번호로 보이게 함.
  • 딥러닝 기반 메시지 생성: GPT‑형 모델이 맞춤형 사기 문구를 자동 생성, 맞춤형 속임수 강화.
  • 멀티미디어 악성: 이미지, 비디오 첨부로 신뢰성 부여; QR 코드 삽입으로 악성 사이트 연결.
• 공격 흐름
  1. 정보 수집: 공개된 연락처, 유출 데이터에서 번호 추출.
  2. 전송: 수집된 번호에 맞춤형 메시지 전달, 링크 클릭 유도.
  3. 피싱 페이지: 가짜 로그인 페이지(인증서 위조, 프리랜스 UI)로 자격증명 수집.
  4. 악성코드 배포: 첨부 파일(APK, 문서) 설치로 장치 제어 획득.
• 감지·방지 기법
  • 스팸 필터링: 머신러닝 기반 스팸 검출, URL 분석(PhishTank, URLVoid).
  • 링크 검증: 클릭 전 가상환경에서 URL 분석, 안전성 표시.
  • 사용자 알림: 모바일 OS가 사기 가능성 있는 메시지를 경고.

3️⃣ 악성 링크와 URL 스테이징

• 동적 도메인: DNS 변조, 짧은 링크(단축 URL) 사용해 출처 추적 어려움.
• 딥러닝 기반 URL 분석: URL 문자열을 임베딩해 사기 여부 예측.
• HTTPS 무시: 가짜 인증서 사용, SSL 스트립핑 기법으로 HTTPS를 HTTP로 변환.

4️⃣ 딥페이크 음성 및 영상 합성

• 기술 동작: 사람의 음성 데이터를 대량 수집 후, 오토인코더 기반 모델 학습.
• 응용: 보이스피싱 시 진짜 인물(은행 직원) 음성 모사, 신원 인증 단계 조작.
• 탐지: 오디오/영상 신호 분석(버니티 검증, 주파수 패턴), AI 기반 악성 감지 모델.

5️⃣ AI 기반 사기 자동화

• 챗봇 사기: 자연어 생성 모델이 실시간 대화 시나리오를 만들고, 사용자 반응에 따라 스크립트 조정.
• 스팸 메시지 자동 생성: 대규모 연락처에 대량 발송, 고품질 사기 문구 생성.
• 리스크 예측: 과거 사기 데이터 기반 위험 점수 매트릭스, 실시간 위험 관리 대시보드.

6️⃣ 대응 조직 구조 및 협업

• 경찰청 보안 담당 부서: 사기 범죄 데이터 수집·분석, 범죄 수사.
• 은행·금융기관: 내부 사기 탐지 시스템, 고객 알림.
• 통신사·모바일 OS: 스팸 필터링, SMS 스푸핑 차단, 사용자 인증 강화.
• 보안 업체: AI 기반 스팸 차단 솔루션, 딥페이크 탐지 도구 제공.

7️⃣ 법적·제도적 대책

• 특별단속: 9월 1일부터 5개월간 대대적인 범죄 단속, 고위험자 집중 수사.
• 법 개정: 보이스피싱·스미싱 관련 처벌 강화, 데이터 유출에 대한 책임 확대.
• 국제 협력: 해외 사기 조직과의 정보 공유, 국제 수사 연합(MEMO) 활용.

8️⃣ 교육·인식 강화

• 공공 캠페인: '피싱 주의' 포스터, SMS 가이드라인 배포.
• 기업 내부 교육: 정기적 보안 트레이닝, 시뮬레이션(가짜 피싱 테스트).
• 개인 사용자: 의심 메시지, 전화 의심 시 은행 공식 앱으로 확인, 비밀번호 재설정 가이드.

9️⃣ 기술적 차단 장치

• 전화번호 블록리스트: 사기 번호 자동 차단 시스템.
• SMS 스팸 필터: 딥러닝 기반 필터링, 사용자가 스팸을 신고하면 실시간 업데이트.
• 음성 인증: 다중 요인 인증(MFA)으로 음성 인증 시점에 추가 검증 단계 삽입.

1️⃣0️⃣ 미래 전망 및 과제

• AI 공격 진화: 인간 감정 인식 AI가 사기 스크립트에 적용, 공격 정밀도 상승.
• 딥페이크 대응: 실시간 딥페이크 검출, 보안 인증서 기반 검증.
• 블록체인 기반 신원 인증: 분산원장으로 식별자 보호, 사기 피해 감소.
• 규제 강화: 개인정보 보호법 강화, 데이터 유출 시 제재 가속화.

---

위 내용은 보이스피싱·스미싱에 사용되는 핵심 기술과 대응 방안을 상세히 정리한 것으로, 2023년 1~7월 피해 규모와 경찰의 특별단속 조치와 함께 이해할 수 있도록 구성하였다.

 

출처: http://www.boannews.com/media/view.asp?idx=138994&kind=&sub_kind=