사이버 범죄의 규모가 합법적 산업으로 편입된다면 세계 3위 규모의 경제 대국에 버금가는 수준에 이를 것이라는 분석이 제기되고 있다. 보안 업계 전문가들은 사이버 범죄가 ‘하나의 거대한 경제 활동’으로 기능하고 있으며, 그 파급력이 이미 주요 산업과 견줄 만한 수준에 도달했다고 평가하고 있다. 실제로 사이버 범죄 조직들은 정교한 기술력과 글로벌 네트워크를 바탕으로 금융, 유통, 정보통신 등 다양한 분야를 겨냥하고 있으며, 피해 규모 또한 매년 눈에 띄게 증가하고 있는 상황이다. 우리나라에서도 피해가 막대하다. 경찰청에 따르면 2025년 상반기에만 보이스피싱에 의한 피해 발생 건수가 1만 2건에 달하고, 피해액은 약 6,400억 원대에 이른다. 전 세계를 휩쓸고 있는 보이스피싱 사건과 그 최신 기술에 대해 알아본다.
복합적 범죄형태로 빠르게 발전
사이버 보안 업계는 최근 보이스피싱과 딥페이크를 활용한 신종 사기 수법이 전례 없는 속도로 증가하고 있다고 경고하고 있다. 미국의 사이버 보안 기업 크라우드스트라이크(CrowdStrike)에 따르면 2024년 하반기에 탐지된 보이스피싱 범죄 시도는 같은 해 상반기보다 442% 급증했다는 분석이 나왔다.
이러한 공격은 단순히 개인 사용자에게만 국한되지 않는다. 실제로 기업과 기관을 겨냥한 보이스피싱은 더욱 정교하게 진화하고 있으며, 그 피해 범위도 갈수록 커지고 있다. 사이버 보안 스타트업 기업 킵넷랩스(Keepnet Labs)의 조사에 따르면 무려 70%의 조직이 전화 기반 보이스피싱 공격을 직접 경험한 것으로 나타났다. 이는 조직 차원에서도 보이스피싱이 흔한 위협으로 자리 잡았음을 보여주는 수치이다. 더 심각한 문제는 조직 내부의 직원들이 이러한 공격에 노출될 경우 발생하는 피해이다. 보고서에 따르면 직원 중 6.5%가 실제로 공격자의 기만에 속아 비밀번호, 계정 정보, 고객 데이터 등 민감한 정보를 제공한 경험이 있는 것으로 드러났다. 표면적으로는 작은 비율처럼 보일 수 있지만, 수천 명의 직원을 보유한 대기업의 경우 단 한 명만 속아도 네트워크 전체가 위험에 빠질 수 있다는 점에서 결코 가볍게 볼 수 없는 수치이다.
특히 최근 사이버 보안 업계는 AI 기반 소셜 엔지니어링 공격의 정교화를 심각한 위협으로 보고 있다. 보이스피싱은 목소리 복제 기술과 생성형 AI의 발달로 신뢰성과 설득력이 과거보다 크게 향상되었다. 이제는 단순히 전화를 걸어 정보를 빼내는 수준을 넘어, 문자 메시지, 딥페이크 영상, 가짜 소셜 미디어 콘텐츠까지 동원하는 복합적 범죄 형태로 빠르게 확산되고 있는 상황이다.
생성형 AI는 특정 지역의 억양과 말투까지 정밀하게 재현할 수 있어, 피해자가 의심 없이 속아 넘어가도록 만들고 있다. 이러한 흐름 속에서 2025년 초 새롭게 등장한 블랙햇 AI 플랫폼 잰소록스(Xanthorox) AI는 사이버 보안 업계가 주목할 만한 현상으로 꼽히고 있다. 이 시스템은 기존의 합법적인 AI 도구를 변조하거나 우회하는 수준을 넘어, 처음부터 공격을 목적으로 개발된 인공지능이라는 점에서 차별성을 가진다. 단순히 명령을 보조하는 역할이 아니라, 공격 시나리오를 설계하고 사회 공학적 기법을 정교하게 적용해 실행할 수 있는 능력을 내장하고 있다. 예를 들어, 특정 기업의 헬프데스크 대화 패턴을 학습해 실제 상담원처럼 응대하거나, 지역별 억양과 발음을 완벽하게 재현해 피해자의 의심을 최소화하는 식이다. 이로 인해 공격자는 과거보다 훨씬 더 빠르고 효율적으로 범죄를 수행할 수 있다. 사람이 일일이 준비하던 피싱 시나리오, 음성 복제, 메시지 작성 과정이 자동화되면서 공격 속도가 비약적으로 빨라졌다. 또, 잰소록스 AI는 단일 공격에 그치지 않고 수많은 타깃을 동시에 겨냥할 수 있는 확장성까지 갖췄다는 점에서 보안 전문가들에게 더 큰 우려를 사고 있다.
통신사, 정부도 적극 나서
사이버 범죄의 공격 방식이 점점 더 정교해지고 있다. 전통적인 보이스피싱을 넘어 콜백 피싱(callback phishing)과 헬프 데스크 사회공학 기법이 적극적으로 활용되면서 피해 규모가 확대되는 양상이다. 실제로 보안업계 분석에 따르면 콜백 피싱은 최근 몇 년 사이 수백 퍼센트 단위로 증가했다. 공격자는 이메일이나 문자 메시지를 통해 피해자가 직접 전화를 걸도록 유도한 뒤, 기술 지원 직원이나 고객센터 상담원으로 위장해 민감 정보를 빼내는 방식으로 활동한다. 또한 공격자들은 글로벌 대량 메시징 서비스를 활용해 범죄의 효율성을 높이고 있다. 합법적인 비즈니스 목적에 사용되는 플랫폼이지만, 월 수십 달러 수준의 저렴한 비용으로 수천 건의 메시지를 대량 발송할 수 있다는 점이 악용된다. 만약 공식 서비스에서 차단될 경우, 다크웹에서 제공되는 유사 서비스를 통해 손쉽게 우회가 가능하다는 점도 문제로 지적된다.
보이스피싱 범죄가 인공지능(AI) 기술을 활용해 갈수록 정교해지는 가운데, 수사기관과 통신사, 정부가 이를 막기 위한 대응책을 속속 내놓고 있다. 경찰은 최근 목소리를 위조·변조하는 이른바 ‘딥보이스(Deep Voice)’ 기술에 대응할 수 있는 탐지 시스템 개발에 착수했다. 가족이나 지인의 목소리를 흉내 낸 음성을 잡아내기 위해 비정상적인 주파수나 어색한 발음 패턴을 분석하는 방식이다. 향후에는 위조 음성이 탐지될 경우 휴대전화에 진동 경고를 보내거나 송금을 차단하는 기능까지 적용한다는 방침이다.
아울러 경찰은 기존 보이스피싱 범죄 수법이 문자 메시지나 단순 전화 사기에 국한되지 않고, AI를 활용한 영상 통화·메신저 사기 등으로 확장되고 있다는 점에 주목하고 있다. 실제로 최근에는 ‘가짜 화상 통화’를 통해 부모나 지인의 얼굴과 목소리를 동시에 흉내 내며 금전을 요구하는 사례까지 보고되고 있다. 이에 따라 수사기관은 음성뿐 아니라 영상 위·변조를 탐지할 수 있는 멀티 모달(Multi-modal) 분석 기술도 병행해 개발하고 있으며, 국내 주요 연구기관과 산학 협력 체계를 구축해 대응 역량을 강화하고 있다.
통신 3사 역시 AI 기반 탐지 서비스를 경쟁적으로 선보이고 있다. AI가 통화 내용을 실시간으로 문자화해 특정 키워드를 감지하면 휴대전화 화면에 ‘의심 전화’ 경고가 표시되는 방식이다. ‘계좌번호’ ‘비밀번호’ ‘본인 인증’ 등 보이스피싱에서 자주 활용되는 단어들이 주요 탐지 대상이다. SK텔레콤은 매달 약 20만 건의 의심 통화에 경고를 제공하고 있다고 밝혔다. 정부도 적극 나서고 있다. 과학기술정보통신부와 개인정보보호위원회는 보이스피싱 대응 기술 개발을 위한 연구개발(R&D) 사업을 추진하며, 규제 개선과 실증 특례를 검토하고 있다. 이러한 협력의 첫 성과로 SK텔레콤은 AI 기반 보이스피싱 차단 서비스를 개발 중이다. 이 서비스는 통화 문맥을 실시간으로 분석해 수사기관 사칭이나 금융거래를 명목으로 개인정보를 요구하는 행위를 빠르게 식별하고, 사용자와 가족에게 즉시 알림을 제공하는 기능을 포함한다. 결국 이제 인류는 보이스 피싱과의 전쟁을 멈출 수 없게 됐고, 개개인은 이러한 범죄의 피해자가 되지 않기 위해 최선의 노력을 다해야 할 것이다.
