시니어 취약한 스캠과 예방법
챗GPT라는 AI(인공지능)가 화제가 되면서 또 다른 근심거리로 주목을 끌기 시작했다. 바로 AI를 이용한 시니어 대상의 사기가 판을 칠 것으로 예상되기 때문이다. 그나마 미국에서는 안전지대라고 생각했던 보이스 피싱마저 AI로 간단하게 일을 저지를 수 있다는 우려가 팽배하다. AI시대에 첨단 사기를 어떻게 막아야 할 지 알아봤다.
최근 텍사스의 한 미국인 부부는 성인이 된 아들로부터 전화를 받았다고 생각했다. 목소리가 정확히 아들과 같았다.
지역 매체에 따르면, 전화 너머로 들려온 아들의 스토리는 아들이 교통사고를 일으켜 임신 6개월인 여성을 치었고 병원에서 막 퇴원했으며 지금은 DWI(약물 중독 운전)로 기소될 처지라는 것이다. 카운티 구치소에 있다고 말했다. 아들은 그래서 5000달러가 필요했다고 말했다. 이 부부는 아들임을 확신하고 현금 5000달러를 아들이 보낸 인편에 건넸다. 이것이 미국식 보이스피싱이다.
이런 사례에 대해서 전문가들은 AI를 이용해 아들의 목소리를 복제했을 가능성이 높다고 설명한다. 그는 음성 모방 소프트웨어, 딥페이크 비디오, 챗GPT와 같은 챗봇을 포함한 최신 생성AI기술이 어떻게 악용될 수 있는지 알려준 생생한 사례로 소개했다. 이제 자신의 목소리로 “메시지를 남겨달라”는 메모를 만들어서는 안되겠다는 생각이 들 정도다.
사기꾼들은 이제 손자, 경관, 배우자 등 원하면 누구라도 사칭할 수 있는 능력을 높일 수 있는 잠재력을 갖게 됐다.
다른 전문가도 AI의 피해 가능성에 대해 우려하고 있다. 지난 3월 엘론 머스크와 스티브 워즈니액(애플 공동창업자)를 포함한 엔지니어 전문가들은 “인간과 경쟁하는 지능을 갖춘 AI 시스템이 사회와 인류에 심각한 위험을 초래할 수 있다”고 경고하는 공개 서한을 온라인에 게시하고 6개월 중단을 요구하기도 했다.
AI 시스템에 ‘일련의 공유 안전 프로토콜’을 개발하고 구현하는 데 시간이 필요하다는 것이다.
▶사칭 사기 분야의 게임 체인저
이제까지 위기에 처한 손자를 사칭하는 시니어 대상의 사기가 바로 ‘조부모 사기’였는데 이제 ‘목소리’ 소프트웨어를 이용한 수법이 출현한 것이다. 이제 음성 복제 기술을 사용한다면 틱톡 비디오나 인스타그램 비디오 등에서 얻을 수 있는 몇 초만 샘플링 해도 사기꾼들은 사칭 목소리를 이용할 수 있게 된 것이다.
4월에 널리 알려진 또 다른 사건은 제니퍼 드스테파노라는 애리조나 여성이 스키여행을 떠난 15세 딸 브리아나로부터 전화를 받은 것이다. 딸 브리아나는 울면서 납치범들에게 잡혀 있고 몸값을 요구한다는 주장을 했다. 드스테파노는 곧 딸이 안전하다고 확인했지만 목소리가 딸 브리아나의 목소리와 똑같다는 사실에 매우 흔들렸다는 것이다.
누구나 이 기술을 사용할 수 있다는 게 문제다.
일반적인 앱과 같다. 만약 대화를 녹음하고 있다면, 그것을 소프트웨어에 입력해 말하고 싶은 것을 상대방의 목소리로 듣기 위해서는 그저 간단한 타이핑만 하면 된다.
이제 듣는 사람이 질문을 하면 AI는 듣는 사람이 이해할 수 있는 상대방의 목소리로 응답을 생성할 수 있는 잠재력이 있다. 결국, 무엇이 진짜이고 무엇이 가짜인지 구분하기가 훨씬 더 어렵게 된다.
여기에 기존의 기술 중 하나인 스푸핑이 있다. 이 기술을 사용하면 모든 번호를 위조해서 전화를 걸 수 있다.
전문가들은 이메일, 텍스트, 소셜 미디어 메시징을 통한 서면 메시지에도 동일한 우려가 적용된다고 말한다. 이런 사기는 대개 북한, 나이지리아, 러시아와 같은 곳에서 국제 범죄 조직이 저지르는 경우가 많다고 알려졌다. 다만 영어가 모국어가 아니기 때문에 구문과 문법이 상당히 틀렸지만 이제 사기꾼은 AI를 이용하여 이러한 피싱 이메일을 훌륭한 영어로 더 설득력 있게 만들 수 있다.
▶미래에 대한 걱정
전문가들은 특히 범죄자들이 음성 복제, AI 생성 이메일, 딥페이크 비디오 등 사기를 저지르기 위해 다각적 전략을 사용할 수 있게 될 것이라고 우려하고 있다.
하나의 가상 시나리오를 소개하면, 상사가 이메일로 지시사항을 보낸 다음, 음성 메일을 남기고 ‘이봐, 내 이메일 받았어? 매우 시급하다구.(이메일에 지시한대로) 그렇게 해줘야 해.’라고 할 수 있다.
또한 언젠가는 비디오를 볼 수 있는 줌 전화를 받을 수도 있고 그의 얼굴, 표정을 보고 그와 이야기하고 있다고 완전히 믿게 될 것이다. 사이버 보안 전문가들은 이런 종류의 멀티미디어 접근 방식이 곧 출현할 것으로 보고 큰 우려를 하고 있다.
고급 AI를 사용하면 차원 높은 작업으로 범죄를 저지를 수 있다. 사용자에게 제3자인 크리스가 돈을 송금하거나 크레딧카드 번호를 제공하라는 설득을 할 수 있다. 시간이 지나면 이러한 것이 더 쉽고 자동화될 뿐만 아니라 거래량이 크게 증가하여 어느 시점에 이르면 대면으로 이뤄지지 않는 것, 특히 디지털 통신으로 처리하는 모든 것을 신뢰할 수 없게 될 것이다. 물론 대면 만큼 신분 확인할 수 있는 수단을 강구할 수도 있지만 그 수단 또한 위조될 수 있다.
▶가짜 광고, 가짜 AI
지난 2월 FTC(연방통신위원회)는 사이버 범죄자들은 소셜 미디어와 검색 엔진에 인공 지능 도구를 광고하고 있으며 링크를 클릭하면 컴퓨터에 맬웨어를 다운로드할 수 있는 링크가 포함돼 있다고 경고했다. 이런 사이트는 대개 가짜 사이트다. 다운로드로 설치된 피싱 툴을 통해 범죄자는 피해자의 정보를 훔쳐 다크 웹에서 다른 해커에게 판매하거나 피해자의 온라인 계정에 접근해 다른 사람에게 사기를 칠 수 있다.
▶사기 피해 예방법
첫째, 발신번호를 믿지 마라=어떤 업체에서 전화를 받으면 전화를 끊고 그 곳의 번호를 찾은 다음(예를 들어 은행의 경우 명세서에 표시됨) 직접 전화를 건다. FTC에 따르면, 어떤 이유로든 기프트카드로 결제를 요구하는 것은 사기다.
둘째, 클릭하기 전에 일시 중지하라=적법한 출처에서 온 것인지 확인하지 않고 이메일이나 문자 메시지의 링크를 클릭하지 말아야 한다. 범죄자들은 이제 매우 정교해 보이는 메시지는 물론 실제 웹사이트를 그럴 듯하게 모방하는 가짜 웹사이트를 만들 수 있다.
셋째, 가족과 미리 안전한 단어(Safe word)를 만들어 두라=가족이나 가까운 사람들과 공유하는 남들은 잘 모르는 안전한 단어를 평소에 만들어 두라. 예를 들어 누군가가 손자라고 주장하며 전화를 걸면 특별한 안전 단어를 요구하라. 아니면, 군대 암구호처럼 예를 들어 ‘낙동강’ 그러면 ‘오리알’ 이런 식도 좋다. 아니면 사람마다 가족끼리 부르는 닉네임을 만들어 두는 것도 좋다. 안전한 단어를 요청해도 상대 발신자가 모르면 분명히 사기라고 볼 수 있다.
넷째, 위기에 처한 ‘손자’에게 리턴 콜을 하라=사전에 안전한 단어가 못 만들고 손자나 자녀가 의료 응급 상황이나 다른 위기에 처했다고 전화하는 경우(때로는 납치되었다고 말한다) 전화가 고장났다고 전화할 수 없다고 할 것이다. 그러면 잠시 멈추고 숨을 고르고(범죄자들은 이성적인 사고를 방해하기 위해 계속 방해할 것이다) 어쨌든 그에게 리턴 콜을 하겠다고 말하고 전화를 끊어라. 리턴 콜을 하면 대부분 진짜 손자가 전화를 받게 된다.
다섯째, 소프트웨어를 다운로드하기 위해 광고를 클릭하지 마라=FTC는 관심을 끄는 소프트웨어 광고가 보이면 클릭하지 말고 주소를 입력하여 웹사이트로 이동하라고 말한다. 수사 당국은 웹사이트를 찾기 위해서 검색하면 나오는 검색 결과 페이지 상단에 표시되는 ‘광고’ 또는 ‘스폰서’라는 라벨을 믿지 말고 스크롤로 내려 검색 결과로 이동하라고 경고한다. 왜냐하면 스캐머도 검색 엔진에 광고를 게재한다는 것을 기억해야 한다.
여섯째, 개인 정보를 보호하라=신원 도용을 예방하려면 이름, 집 주소, 소셜번호, 크레딧카드 및 은행 정보, 기타 개인 정보를 공개할 때 주의하라. 이메일이나 문자 메시지로만 아는 사람에게 절대 전달하지 말아야 한다.
일곱째, 스캠 정보를 널리 알려야 한다=이런 사기와 관련된 내용과 조언을 가까운 사람들과 공유하는게 좋다.
여덟째, 사기를 신고하라=사기를 발견했거나 피해를 입은 경우 FTC의 웹사이트(reportfraud.ftc.gov)나 FBI 인터넷 범죄 신고센터(IC3.gov)에 신고하라. 신고 정보가 많을수록 패턴을 더 잘 식별하고 사례를 연결하여 궁극적으로 범죄자를 잡을 수 있다.
장병희 기자