피싱 서비스(phishing-as-a-service)가 범죄의 문턱을 낮추고 있다. 누구나 스마트폰으로 스팸 문자를 받는 시대, 기술적 지식이 없는 이들도 사기 웹사이트를 구축할 수 있는 범죄 도구가 텔레그램 채널을 통해 유통되고 있다. 아웃사이더 엔터프라이즈(Outsider Enterprise)는 이러한 피싱 서비스(phishing-as-a-service)를 운영하며 사기 웹사이트와 문자 캠페인 제작을 자동화했다.
범죄 조직의 접근 방식은 정교해졌고 피해 규모는 실시간으로 확인된다. 지난 5월 2주 동안 안드로이드(Android) 사용자들이 신고한 스팸 문자는 55,000건에 달했다. 이는 분당 2건 이상의 스팸 문자가 접수된 셈이다. 범죄자들은 300여 개의 템플릿을 제공하며 기술적 장벽을 제거했고, 이를 통해 다수의 개인이 손쉽게 사기 범죄에 가담하는 구조를 만들었다.
구글은 AI 기반 스캠에 대응하기 위해 AI 기반 도구를 전면에 배치했다. 이 시스템은 실시간으로 스캠을 감지하여 사용자에게 의심스러운 전화와 문자를 경고한다. 구글은 이를 통해 한 달에 100억 건 이상의 스팸 메시지를 차단하고 있다. 아울러 AT&T, T-Mobile, Verizon 등 주요 통신사와 협력하여 스캠 문자를 원천 차단하고 FBI와 조율하여 법적 대응을 진행 중이다.
AI 기반 스캠 캠페인을 주도한 중국 그룹 Outsider
무료 AI 도구가 제공하는 편의성은 공격자에게 공격 비용을 낮추는 수익 구조로 치환된다. 구글은 대규모 AI 기반 스캠 캠페인을 주도한 중국 그룹 Outsider Enterprise를 대상으로 법적 조치를 발표했다. 이는 AI를 악용한 사이버 범죄에 대한 강력한 법적 대응의 일환이다. 이 그룹은 AI를 이용해 스캠 캠페인을 자동화하고 대규모로 확산시킨 혐의를 받는다. 구글은 현재 법 집행 기관 및 모바일 통신사와 협력해 이들의 활동을 차단하는 대응 체계를 가동하고 있다.
공격의 핵심은 브랜드 사칭을 통한 개인정보 탈취와 인프라 구축이다. Outsider Enterprise는 AI를 활용해 구글과 기타 유명 브랜드를 사칭하는 스캠 문자를 대량 발송했다. 수신자가 링크를 클릭하면 가짜 페이지로 연결되어 비밀번호와 신용카드 번호를 탈취하는 방식이다. 구글은 이번 소송을 통해 대규모 AI 기반 사이버 범죄 작전의 배후에 있는 인프라를 완전히 해체하려 한다. 단순한 계정 차단을 넘어 범죄 네트워크의 물리적, 기술적 기반을 제거하겠다는 의도다.
범죄 수법은 텔레그램 채널을 통해 템플릿을 배포하는 서비스 형태로 운영됐다. Outsider Enterprise는 Gemini AI를 활용해 가짜 웹사이트를 제작하는 구체적인 가이드를 제공했다. 구글과 유튜브는 물론 뉴욕의 E-ZPass(전자 통행료 결제 시스템) 같은 정부 기관 웹사이트를 정교하게 모방했다. 이들은 약 300개의 스캠 템플릿을 제공해 누구나 쉽게 피싱 사이트를 만들 수 있는 환경을 구축했다. AI가 피싱 사이트 제작의 기술적 진입장벽을 낮추며 공격의 규모와 속도를 가속했다. 플랫폼 차원의 보안 대응이 시급해진 지점이다.
수십만 명의 피해자에게 수백만 달러의 금전적 손실을 입힌
AI가 생성한 정교한 가짜 메시지 한 통이 초래하는 실제 경제적 비용은 얼마일까. Outsider Enterprise는 수십만 명의 피해자를 양산하며 수백만 달러의 금전적 손실을 입힌 것으로 추정된다. Android 사용자에게 전송된 사기성 문자 메시지는 총 250만 건을 넘어섰다. AI를 활용한 스캠의 도달 범위가 개인의 단순 실수를 넘어 대규모 집단 피해로 확장된 결과다.
피싱 인프라를 구축하는 속도는 기존의 수동 방식과는 완전히 다른 궤적을 그린다. Google은 해당 조직이 단 2주라는 짧은 기간 동안 9,000개의 가짜 웹사이트를 구축한 사실을 확인했다. 이와 연결된 사기성 웹 도메인과 URL의 수는 100만 개에 이른다. Google이 추적해 파악한 100만 개의 URL은 공격자가 운용한 네트워크의 광범위한 규모를 입증한다. 인프라 생성 자동화가 범죄의 진입장벽을 낮추고 공격의 밀도를 극대화했다.
최근까지도 공격의 빈도는 멈추지 않고 지속되고 있다. 지난달 2주 동안에만 약 55,000건의 사기 메시지가 Android 사용자에게 발송됐다. 전체 누적 전송량 250만 건이라는 수치는 공격의 집요한 지속성을 증명한다. Android 사용자를 겨냥한 대량 발송 체계가 실시간으로 작동하며 피해 규모를 빠르게 키웠다. 플랫폼 차원의 보안 필터링을 무력화하는 자동화 도구의 위험성이 구체적인 수치로 드러났다.
구글의 제미나이가 중국 범죄 조직의 자동화 도구로 쓰였다. 아웃사이더 엔터프라이즈는 텔레그램을 통해 300여 개의 템플릿을 제공하는 피싱 서비스 모델을 구축했다. AI가 피싱 사이트 제작의 기술적 진입장벽을 완전히 제거한 결과다. 구글의 이번 고소는 AI 도구의 오남용을 막기 위한 최소한의 법적 장치다. 이제는 개별 사용자의 주의를 넘어 플랫폼 차원의 원천적인 보안 필터링 역량이 AI 서비스의 생존을 결정한다.
