사기 수법이 끊임없이 등장하는 가운데 식별은 점점 더 어려워지고 있다. 사기범이 피해자에 맞춘 방식으로 공격을 설계하기 시작했기 때문이다. 대상은 바로 일반 사용자다.

보안 전문가가 ‘개인화 사기’라고 부르는 수법은 피해자를 더 쉽게 속이기 위해 개인 정보를 활용한다. 정보 출처는 데이터 유출과 침해 사고, 성공한 피싱 공격, 침해된 웹사이트, 악성코드 같은 불법 경로뿐 아니라 마케팅 정보, 공공 기록, 소셜미디어 같은 합법 경로도 포함된다. 데이터 범위는 위치 정보부터 쇼핑 습관까지 광범위하다.

그렇다면 개인화 사기는 어떤 모습일까. 또 어떻게 식별할 수 있을까. 기자는 이런 질문을 맥아피 CIO 스티브 그로브먼에게 전달했다. 그로브먼은 사기범이 확보한 데이터 범위가 넓은 만큼 사기 유형도 여러 범주로 나뉜다고 설명했다.

‘일반형’ 개인화 사기

PCWorld

<이미지를 클릭하시면 크게 보실 수 있습니다>

이 유형은 특정 지역처럼 비교적 넓은 집단을 표적으로 삼는다. 예를 들어 통행료 미납 사기가 개인화되고 있다. 과거에는 미납 통행료가 있다는 문자 메시지가 일반적인 내용이었다. 최근에는 휴대전화 지역 번호를 기반으로 해당 지역 통행료 기관과 시스템 이름을 구체적으로 언급한다.

평소 의심이 많지 않은 사용자라면 이런 방식에 쉽게 방심할 수 있다. 표현은 훨씬 자연스럽지만 여전히 광범위한 대상에게 발송되는 메시지다. 변화의 배경에는 AI가 있다. 사기범은 AI를 활용해 지역 정보를 빠르게 파악하고 메시지에 반영한다.

사기범이 많은 정보를 알 필요도 없다. 연락처 정보만으로도 추정이 가능하기 때문이다. 휴대전화 지역 번호나 이메일 제공업체와 관련된 특정 서비스를 예로 들 수 있다. 최근에는 저장 공간이 부족해 파일이 삭제될 것이라는 구글 저장소 관련 이메일 사례도 등장하고 있다.

‘특정형’ 개인화 사기

데이터 유출과 침해 사고는 이 지점에서 본격적인 문제로 이어진다. 이름과 위치처럼 제한된 정보만 포함된 데이터라도 사기 메시지는 훨씬 공식적으로 들릴 수 있다. 실명을 직접 언급하고 연령대에 맞추거나 지역 특성에 맞춘 내용을 담을 수 있기 때문이다. 추가 정보가 더해지면 메시지는 한층 정교하고 그럴듯한 형태로 다듬어진다.

그로브먼은 이런 유형을 ‘빈칸 채우기’ 사기라고 표현했다. 위협적인 공지 문구에 이름과 관련 기관명을 끼워 넣는 방식이다. 그로브먼은 “(이름), 캘리포니아 주 _________”와 같은 형태를 예로 들었다.

(예시 : 홍길동님, 캘리포니아 차량등록국은 미납 수수료로 인해 등록을 취소했습니다.)

지역 정보와 실제 사용자 정보가 일치하면 메시지는 현실감 있게 들리고, 사용자는 링크를 클릭하거나 사기에 넘어갈 가능성이 높아진다.

‘초개인화’ 사기

Wegovy

<이미지를 클릭하시면 크게 보실 수 있습니다>

이 유형은 노골적인 공포 조성보다 은밀한 접근이 특징이다. 그로브먼은 생활 방식에 초점을 맞춘 공격이라고 설명했다. 사기범은 방문한 사이트나 클릭한 링크 같은 행동 정보를 분석해 관심사를 파악한다. 이후 해당 정보를 악용한다. 예를 들어 체중 감량에 관심을 보였다면 가짜 다이어트 약품 링크가 전달될 수 있다.

초개인화 사기는 사기 단계까지 도달하는 데 더 오랜 시간이 걸릴 수 있다. 연애 사기가 대표적이다. 사기범은 학교 정보 등 개인 정보를 활용해 신뢰를 쌓는다. 대화가 이어질수록 공유된 정보는 관계 형성에 재활용된다. 결국 금전 요구가 시작되거나, 공유된 대화·사진·정보가 협박 수단으로 전환돼 금전을 요구하는 상황으로 이어질 수 있다.

이런 사기는 지나치게 개인적이고 수치심을 유발해 피해자가 피해 사실을 주변에 알리지 않는 경우가 많다. 과거에는 청년층과 고령층이 주요 표적이었다. 외로움뿐 아니라 경험 부족이나 인지 능력 저하를 악용할 수 있었기 때문이다. 현재는 모든 연령대에서 위험이 확대되고 있어 각별한 경계가 필요하다.

사기를 당했다면 어떻게 해야 할까

우선 심호흡이 필요하다. 충격이나 당혹감, 수치심 같은 감정은 자연스러운 반응이다.

사기에 속는 일 역시 누구에게나 발생할 수 있다. 보안 전문가도 예외는 아니다.

다음 단계는 도움 요청이다. 문제가 크게 느껴지더라도 즉시 대응하면 상황 악화를 막을 수 있다. 미국 연방거래위원회 사용자 조언 페이지에는 대표적 사기 유형과 대응 절차가 정리돼 있다.

일반적으로는 즉각적인 피해부터 처리해야 한다. 사기 사이트에 신용카드 번호를 입력했거나 금전을 송금했다면 즉시 은행에 연락해 부정 거래 사실을 알리는 것이 중요하다. 대응 속도가 빠를수록 피해 규모를 줄일 수 있다.

신용카드나 은행 계좌 사기가 의심된다면 즉시 은행에 연락해야 한다.Cardmapr / Unsplash

<이미지를 클릭하시면 크게 보실 수 있습니다>

사회보장번호를 공유했다가 뒤늦게 인지한 경우에는 신용 보고서에 보안 동결을 설정하고 보안 경고도 추가해야 한다. 특히 보안 동결은 제3자가 신용 조회나 신규 개설을 하지 못하도록 차단하는 강력한 수단이다.

정서적 건강 관리도 필요하다. 친구나 가족과 대화를 나누며 상황을 정리하는 것만으로도 도움이 된다. 필요하다면 고용주나 경찰의 도움을 받는 것도 방법이다.

개인화 사기를 피하는 방법

개인화 사기는 앞으로 더 확산될 가능성이 있다. AI 기술 발전이 사기 도구를 고도화하고 있기 때문이다.

그로브먼은 사기범도 수익을 추구하는 사업자라고 분석했다. 기존 방식의 수익성이 떨어질 때 전략 변화가 발생한다는 설명이다. 인식이 확산되고 탐지 도구가 개선될수록 사기 수법도 진화한다. 보안 전문가 역시 AI를 활용하고 있어 경쟁은 계속되고 있다. 개인화 수준이 높아질수록 정상 메시지와 사기 메시지를 구분하는 일은 더욱 어려워진다.

윈도우 보안은 마이크로소프트가 자동으로 최신 상태를 유지하는 무료 백신 옵션이다.Foundry

<이미지를 클릭하시면 크게 보실 수 있습니다>

다행히 기본적인 보안 수칙은 비교적 단순하다. PC에 백신 소프트웨어를 활성화해야 한다. 컴퓨터나 스마트폰에 애플리케이션을 설치할 때는 신중해야 한다. 특히 브라우저를 포함한 소프트웨어를 최신 상태로 유지해야 한다. 비밀번호 관리자를 사용하는 것도 도움이 된다. 다양한 애플리케이션과 서비스는 보호 장치를 내장하고 있으며, 온라인 보안을 위한 공동 감시 체계와 유사한 역할을 한다.

마지막 요소는 사용자 자신이다. 방문하는 사이트, 다운로드하는 소프트웨어, 설치하는 브라우저 확장 프로그램, 그리고 이메일과 메시지에서 무심코 누른 링크 하나까지도 모두 사기 피해로 이어질 가능성을 키우거나 차단하는 요인이 된다. 인터넷 사용 시 신중한 판단이 필요하다.

dl-itworldkorea@foundryco.com