Photo Image

누구나 한 번쯤 받아 본 이메일이 있다. 아프리카 정치인, 사업가 또는 미망인이라며 곤경에 빠졌으니 비자금 반출을 도와주거나 고수익을 보장하니 투자하라고 한다. 회신하는 사람에겐 그럴듯한 이유를 대며 돈을 뜯어낸다. 어리숙한 속임수가 왜 통하는 걸까. 이메일 내용을 교묘하게 만들면 손실 규모는 오히려 커진다. 메일을 받은 사람 대부분이 속아 응답한다면 인적·물적·시간 측면에서 감당할 수 없다. 어리숙한 속임수를 쓸 경우 회신하는 피해자는 많지 않지만 연락만 해 온다면 속이기 쉽고 돈 뜯어내기도 쉽다.

Photo Image

피싱(Phishing)은 낚시(Fishing)의 'F'를 발음이 같은 전화(Phone)의 'Ph'로 바꿔 만든 말이다. 피싱범죄는 생각보다 조직적이다. 대개 우두머리, 관리, 상담, 인출, 회수, 송금 등 조직을 갖춰 역할을 분담한다. 원래 전화 또는 이메일 대량 전송으로 피해자를 찾았지만 역사가 깊은 만큼 다양한 형태로 발전했다.

스미싱(Smishing)은 악성 애플리케이션(앱) 주소가 포함된 휴대폰 문자(SMS)를 대량 전송하고, 피해자가 속아서 악성 앱을 설치하면 은행계좌 로그인 등 정보를 탈취한다.

스피어피싱(Spear-phishing)은 치밀한 사전 정보 수집을 통해 특정인 또는 기업에 피싱 공격을 한다. 그 가운데 기업 핵심 임원을 대상으로 하는 것이 웨일링(Whaling)이다. 클론피싱(Clone-phishing)은 원본 문서와 닮은 문서를 만들어 피해자를 속인다. 웹사이트 자체를 가짜로 만들어서 피해자를 유인하기도 한다. 해외 본거지를 둔 피싱범죄는 국가 간에 협력해도 잡기 어렵다. 범인을 잡아도 피해액을 돌려받기가 쉽지 않다.

Photo Image

이런 상황에서 피싱범죄 조직이 인공지능(AI)까지 이용하면 어떻게 될까. 범죄 양상을 바꿀 것 같다. 온라인에 공개된 데이터, 해킹·불법으로 얻은 데이터 등 각종 데이터를 이용할 수 있다. 데이터가 복잡하고 대용량이어도 상관없다. 데이터를 AI 알고리즘에 투입·분석해서 피해자와 속임수를 손쉽게 찾아낼 수 있다. 특히 피해자 가족의 음성·영상·사진·문서·과거 경험을 합성·가공해서 이용한다면 속일 수 있는 확률과 피해액을 높일 수 있다. 설령 피해자가 의심해도 AI가 신속·정교한 대처 방법을 제시한다. 피해자가 늘고, 피해 규모가 커진다.

피싱범죄는 사기, 문서 위·변조, 업무방해, 전자금융거래법 위반(대포통장 개설), 금융실명거래 및 비밀보장에 관한 법률 위반(실명에 의하지 않은 거래)으로 처벌된다.

피싱범죄 근절을 위해 과학기술정보통신부, 금융위원회, 한국인터넷진흥원 등 많은 정부기관이 협력하고 있다. 고액 입금·이체에 대해 30분 등 처리 시간을 늦춰 피해자가 피싱범죄에 당했음을 알아차릴 수 있는 시간을 준다. 피싱범죄를 당해 계좌이체를 할 때는 피해자가 깨달을 수 있는 경고 문구·확인란을 제공한다. 각종 교육·계몽 활동도 이뤄지고 있다.

AI 시대에 이것으로 충분할까. AI를 활용한 피싱범죄 근절을 위해 준비할 것은 없을까. 있다. 피싱범죄용 AI 알고리즘 제작 행위 자체를 불법화하거나 신종 범죄로 규제할 필요가 있다. 적법한 AI 알고리즘을 피싱범죄에 악용하는 행위도 규제해야 한다. AI 알고리즘을 통한 피싱범죄를 현행보다 가중 처벌할 필요성이 있는지도 검토해야 한다.

피싱범죄를 기술적 측면에서 예방하고 피해를 복구하기 위한 노력도 필요하다. 피싱범죄에 이용되는 AI의 불법적인 작동방식이나 범죄 징후를 탐지해 내는 AI 기술을 연구하고 발전시켜야 한다. 피싱범죄에 이용된 AI를 구성하는 기술 장치는 몰수 또는 폐기해야 한다. 피싱범죄 조직과 은닉된 피싱범죄 수익을 효과적으로 찾는 방안도 AI로 만들어야 한다. 고령 국민 등 누구나 접근할 수 있는 AI 범죄 예방교육 시스템 개발도 중요하다. 세상에 나쁜 AI는 없다. AI를 어떻게 쓸 것인지는 결국 사람의 몫이다.

이상직 법무법인 태평양 변호사(국가지식재산위원) sangjik.lee@bkl.co.kr