어떻게 1조원 뜯었을까...그놈 목소리 [스페셜리포트]

# 서울 마포구에 거주하는 직장인 김 모 씨(32)는 퇴근 후 집에 도착해 우편함을 확인하다 메모 하나를 발견했다. ‘등기가 도착했으니 연락하라’는 우체국 등기 안내문이었다. 김 씨는 아무 의심 없이 적힌 번호로 전화를 걸었다.

전화를 받은 사람은 자신을 ‘마포 우체국 직원’이라고 소개했다. 이후 “서부지법에서 등기가 왔다. 중요한 우편이라 당사자가 맞는지 본인 확인이 필요하다. 주민등록번호와 주소 등 개인정보를 불러달라”고 요구했다. 순간 김 씨는 의아함을 느꼈다. 본인이 법원에서 서류를 받을 일이 없어서다. 게다가 등기를 전달하지 못했다고 개인정보를 요구받는 경우가 처음이었다.

김 씨가 “제가 법원에 받을 등기가 없는데 제 것이 맞나요”라고 되묻자, 상대방은 돌연 화를 냈다. 그는 “법원 사이트 링크를 보내줄 테니, 검색해 보라, 사건이 조회될 것”이라고 목소리를 높였다. 하지만 김 씨가 “법원에서 서류가 올 이유가 없다”라고 강하게 반박하자, 상대방은 더 말을 잇지 못하고 전화를 황급히 끊었다. 이후 김 씨가 실제 법원 사이트에 접속해 사건을 검색했지만, 아무 기록도 없었다. 전형적인 ‘등기 보이스피싱’ 수법이었다.

“등기나 소송 제도에 대해서 잘 아는데도 사기를 당할 뻔했다. 잘 모르는 사람이라면 바로 속아넘어갈 정도로 정교한 설계였다. 갈수록 보이스피싱이 기승을 부리는 탓에, 전화가 오면 의심부터 하는 버릇이 생겼다.”

“여보세요, 법원입니다.” “고객님 계좌에서 이상 거래가 발생했습니다.”

한국 사회는 오래도록 ‘그놈 목소리’ 범람에 시달려왔다. 매일 걸려 오는 보이스피싱 전화에 당하는 피해자가 속출한다. 지난해만 보이스피싱으로 8000억원이 넘는 피해액이 발생했고, 올해는 피해액이 1조원을 넘어설 것으로 추정된다. 범죄 수법은 더 정교해졌다. 수사기관 사칭을 넘어 ‘등기 메모’ ‘AI 음성 합성’에 이르기까지 끊임없이 진화 중이다. 교묘해진 수법에 ‘어르신들만 당한다’는 말도 옛말이 됐다. 보이스피싱 피해자는 노년층에서 사회 초년생, 심지어 청소년에 이르기까지 전 연령대로 퍼지고 있다.

갈수록 커지는 피해를 줄이기 위해, 정부와 금융권, 통신사가 급하게 피해 방지책을 내놓고 있지만, 획기적인 해결책은 없다는 평가다. 개인정보 규제로 인한 범죄자 목소리 정보 수집 불가, 통신·금융사 간 예방 시스템 연결 미비 등으로 인해 제대로 된 방지 시스템을 도입조차 못하는 게 현실이다. 전문가들은 정부가 직접 나서서 통신과 금융, 피의자 검거까지 이르는 방지 체계를 마련해야 한다고 목소리를 높인다.

보이스피싱은 갈수록 교묘해지고 있다. 사진은 피해자들을 속이기 위한 유령 로펌 홈페이지. (경찰청 제공)

지난해 갑자기 급증한 보이스피싱

2025년 피해 예상 금액 1조원

보이스피싱 범죄의 심각성은 수치로 드러난다. 경찰청에 따르면, 올해 상반기 보이스피싱 발생 건수는 약 1만2000건을 기록했다. 전년 동기 대비 23% 증가했다. 피해 규모는 더 심각하다. 같은 기간 보이스피싱 피해 금액은 6400억원에 달했다. 지난해 상반기보다 98% 급증했다. 올해 1분기부터 금융권과 금융당국, 경찰청 등이 TF(태스크포스)를 꾸려 보이스피싱 피해 예방에 적극 나섰음에도 피해를 막지 못했다.

사실 그동안 보이스피싱은 ‘한물간 범죄’ 취급을 받았다. 사건 건수와 피해 규모가 계속해서 감소한 탓이다. 보이스피싱 피해 규모는 2021년 7744억원에서 2022년과 2023년 각각 5438억원, 4472억원으로 2년 연속 줄었다. 하지만 지난해부터 상황이 반전됐다. 해외 범죄 조직의 기승, AI 기술 발전으로 인한 딥페이크 음성의 등장으로 보이스피싱 범죄가 급격히 늘어났다. 2024년 보이스피싱 연간 피해 금액은 8545억원으로 역대 최대치를 기록했다. 피해 건수도 2만건을 넘었다. 올해 상황은 더 심각하다. 상반기에만 6000억원이 넘는 피해가 발생했다. 연간 피해 규모는 사상 처음으로 1조원을 웃돌 것으로 보인다.

KT는 AI 보이스피싱 탐지 2.0 서비스를 내놨다. 성문 정보와 문맥 데이터를 활용해 해당 전화가 보이스피싱 전화인지 아닌지 확인한다. 사진은 시연하는 모습. (반진욱 기자)

폭주하는 보이스피싱

금융·통신사 예방책 도입 혈안

피해가 심각해지자 통신사와 금융권은 보이스피싱 예방책, 구제책 마련에 심혈을 기울이는 모습이다. 보이스피싱 범죄 대부분은 ‘전화를 받은 피해자’가, 돈을 사기 범죄자에게 송금하는 형태로 일어난다. 때문에, 범죄임을 알고 통화를 일찌감치 종료하거나, 돈을 송금하기 직전에 막기만 해도 피해를 대폭 줄일 수 있다.

통신사와 금융권은 과거부터 보이스피싱 방지책을 꾸준히 도입해왔다. 그러나 기술 발전으로 인해 기존 대책만으로는 한계에 부딪혔다. 이에 투자 규모를 대폭 늘려, 보이스피싱 피해를 원천적으로 차단하는 신기술을 적극 선보이고 있다. 단순히 고객 경고창을 띄우는 수준을 넘어, 인공지능(AI)과 빅데이터를 활용한 탐지 시스템 구축, 금융·통신사 간 정보 공유 강화, 피해 차단 전담 조직 신설 등 정책을 내세운다.

가장 열을 기울이는 곳은 시중은행이다. 결국 보이스피싱 범죄가 이뤄지려면, 피해자가 송금을 하고, 사기를 저지른 일당들이 대포통장으로 받은 돈을 인출해야 한다. 즉 이상금융거래만 차단해도 상당수 범죄 예방이 가능하다.

시중은행이 주목한 기술은 ‘AI 기반 이상거래 탐지 시스템’이다. AI 프로그램을 활용, 금융사기 의심 상황을 찾아내고 차단하는 체계다. KB국민은행은 고객의 금융거래 패턴과 자금 흐름을 AI가 실시간 분석하는 ‘AI 보이스피싱 모니터링 시스템’을 운용한다.

신한은행은 2022년 말 은행권 최초로 ‘AI 이상행동 탐지 ATM’을 도입했다. 현재 전 영업점에서 운용 중이다. 핵심은 ‘현금 송금·인출자 분석’이다. 보이스피싱 피해자들은 전화로 지시를 받아 ATM 앞으로 이동한 뒤, 전화 지시를 받아 돈을 보내는 경우가 많다. 또 범죄 수익을 찾는 인출책들은 선글라스와 모자 등 본인 얼굴을 최대한 가린 채 ATM을 이용한다.

이러한 점에서 착안, 신한은행 ATM은 사용자 행동과 외모를 분석한다. 앞에서 통화를 하거나 선글라스와 모자를 착용하는 등 의심스러운 징후가 포착되면 주의 문구를 띄우거나 본인인증을 요구한다. 인증되지 않으면 거래를 막는다.

하나은행은 2018년 AI에 보이스피싱·대포통장 사고 패턴을 학습시켜 신종 수법까지 탐지하는 이상거래 탐지 시스템을 도입했다. 딥러닝(CNN) 알고리즘으로 과거 데이터에서 유사 패턴을 찾아내, 이상거래 여부를 확인한다.

NH농협은행 역시 AI 기반 시스템을 구축했다. 고객의 금융거래 패턴과 자금 흐름, 위치 정보, 스마트폰 앱 내 악성·원격 앱 설치 등 데이터를 통합 분석하는 게 특징이다. 분석한 자료를 토대로 보이스피싱 의심거래를 검출한다.

카드사를 사칭한 대출사기가 신종 보이스피싱으로 떠오르자, 카드사들도 피해 예방 마련에 안간힘을 쓴다. 신한카드는 시니어 고객을 피싱 범죄로부터 보호하기 위한 무료 피싱케어 서비스 ‘신한 SOL이 지켜드림’을 선보였다. 보이스피싱에 취약한 시니어 고객이 가입 대상이다. 의심 거래를 사전에 탐지하고 관리하는 ‘사전 예방’ 기능과 실제 피해 발생 시 이를 지원하는 ‘사후 보상’ 서비스를 함께 제공한다. KB국민카드는 금융사기 신속 알림 서비스를 새로 만들었다. 금융사기 범죄의 타깃이 되는 고객군을 분석, 신종사기 수법과 예방수칙을 지속 전파한다.

하나카드는 ‘피싱케어’ 서비스를 적용한다. 보이스피싱 실시간 탐지, 악성 앱 검사, 가족 보호 알림 서비스가 핵심이다. 통신사들도 적극 나선다. 통신 3사는 사용자 통화 내용과 상대방 목소리를 분석해 보이스피싱 여부를 판단하는 서비스를 각자 공개했다. 보이스피싱이 의심되면 사용자에게 강하게 ‘경고 알람’을 보내는 게 핵심이다.

SK텔레콤은 AI 사이버보안 기술 ‘스캠뱅가드’로 보이스피싱 통화를 차단한다. AI가 스미싱 문자나 피싱 시도 채팅을 탐지한다. 해당 기술은 AI 서비스 ‘에이닷’을 통해 사용자에게 제공된다. 보이스피싱 의심 번호로 전화가 오면 사용자에게 바로 메시지를 발송한다.

KT는 보이스피싱 차단 수준을 더 높인 ‘AI 보이스피싱 탐지 2.0’ 서비스를 올해 7월 상용화했다. 기존 서비스는 보이스피싱에 사용되는 특정 단어를 인식, 범죄 여부를 탐지했다. 수사기관 사칭과 같은 정형화된 보이스피싱 탐지는 잘했지만, 등기, 카드 배송 사칭 등 완전히 새로운 유형의 범죄에는 취약했다. 이에 KT는 개편을 통해 목소리 고유의 특징(성문)을 기반으로 한 서비스를 새로 선보였다. 대화 유형부터, 범죄자 목소리를 분석해 보이스피싱 전화 여부를 빠르고 정확하게 탐지한다. KT는 현재 보이스피싱 감지 서비스 앱 ‘후후’를 통해 이 기술을 제공한다. 목소리, AI 변조 여부 등을 확인한 뒤 보이스피싱 위험이 감지되면 소리와 진동으로 사용자에게 경고를 날린다. 해당 기술을 통해 KT는 올해 보이스피싱 탐지율 95% 이상, 피해 예방액 2000억원 이상을 달성하겠다는 목표다.

LG유플러스는 AI 보이스피싱 차단 기술인 ‘안티 딥보이스’를 자체 AI 통화 에이전트 프로그램 ‘익시오’에 적용했다. 위변조된 음성을 통화 시작 5초 이내에 판별, 바로 경고하는 방식이다. 3000시간, 200만건 분량의 통화 데이터를 익힌 AI가 음성 주파수를 분석해 위조 가능성을 판단한다. 정확도는 90%가 넘는다고.

스마트폰 제조사인 삼성전자는 전화 앱에 ‘보이스피싱 의심 전화 알림’ 기능을 새롭게 도입했다. 이 기능은 모르는 번호와 통화를 할 경우 AI 기반으로 보이스피싱 의심 여부를 실시간으로 탐지해 ‘의심(보이스피싱 의심)’ ‘경고(보이스피싱 감지)’ 등 2단계에 걸쳐 사용자에게 알림을 제공한다. 첫 번째 알림은 노란색의 ‘보이스피싱으로 의심’이라는 문구와 소리·진동이 각 1회 발생돼 주의 경고를 하고, 두 번째는 좀 더 강력한 빨간색의 ‘경고:보이스 피싱 감지됨’이라는 문구와 함께 소리·진동이 각 3회씩 발생돼 사용자에게 경고 알림을 제공한다.

보이스피싱 범죄 피해를 막기 위해, 금융위를 중심으로 한 통합 대응 플랫폼 구축에 나섰다. ‘보이스피싱 근절을 위한 현장 간담회’를 열고 유관기관 관계자들과 기념촬영하고 있다. (금융위원회 제공)

금융권, 통신사 노력해도 한계 명백

통합 시스템 없다면 힘들다

은행을 비롯한 금융권과 통신사가 예방을 위해 전력을 기울이고 있지만 한계가 명백하다. 이유는 3가지다.

우선 예방책 대부분이 ‘경고’에 그친다. 기술력 한계와 사생활·개인정보 침해 문제로 인해 통신·금융사가 강제로 전화를 끊거나 금전 거래를 정지하는 것이 불가능하다. 통신사가 아무리 경고 메시지를 보내도, 사용자가 이를 무시하고 전화를 계속 받아 돈을 보내면 의미가 없다. 실제로 경고를 받았음에도 피해자가 통화를 끊지 않아 돈을 잃은 사례가 꽤 많다고. 통신사 관계자는 “보이스피싱 의심 전화가 명백해, 시스템을 통해 알림을 보내도 이를 무시하고 계속 통화를 이어가는 사용자가 적잖다. 단순 경고만으로는 범죄자 말에 현혹된 사용자를 완전히 막기 힘들다”고 토로했다.

두 번째로는 ‘연계 부족’이다. 범죄를 효과적으로 막기 위해서는 통신사와 금융사 간 실시간 연계가 필요하다. 예를 들어 통신사에서 사용자가 보이스피싱 의심 전화를 받은 것을 확인했다면, 해당 사용자 명의의 계좌가 있는 은행에 알림을 보내고, 수사기관에 즉각 정보를 통지하는 식이다. 통신·금융·수사기관이 연계되면 효과적으로 범죄를 줄일 수 있다. 설령 통신사 경고를 무시하고 피해자가 돈을 송금하려 해도, 은행에서 거래를 막기 때문이다. 현재 국내에는 해당 시스템이 마련돼 있지 않다. 각 통신사가 은행에 개별로 접촉해 MOU를 맺는 형식이다.

마지막으로 규제로 인한 한계다. 보이스피싱을 통신사가 빠르게 막으려면 ‘성문 정보’가 필수다. 사람은 개인마다 고유의 목소리 정보인 ‘성문’을 가지는데, 보이스피싱 범죄자들의 성문 정보를 AI에 학습시키면, 가장 빠르게 범죄 여부를 확인할 수 있다. 문제는 성문 정보가 개인정보라는 점. 개인정보보호 규제 때문에 사기업인 통신사들이 성문 데이터를 바로 활용할 수 없다. 최초로 성문 기반 서비스를 도입한 KT도 정보통신기술(ICT) 규제 샌드박스 실증 특례를 받은 뒤에야 사용 가능했다.

이뿐 아니다. 어렵게 얻은 성문도 보이스피싱 범죄자가 교도소에서 형기를 마치고 나온 뒤 삭제를 요구하면 바로 폐기해야 한다. 저장된 성문을 폐기하면 해당 범죄자가 다시 사기 범죄를 저질렀을 때, 목소리 정보로 전화를 차단하는 프로그램으로 막을 수 없다.

삼성전자도 갤럭시 앱에 보이스피싱 여부를 탐지하는 서비스를 내놨다. (삼성전자 제공)

한계 명확한 민간 중심 대책

통합 대응 플랫폼 절실

전문가와 현장 관계자들은 민간 기업 노력만으로는 보이스피싱 대응이 불가능하다고 입을 모은다. 교육부터, 범죄 예방 홍보, 첨단 기술 활용, 국제 공조를 아우르는 범정부적 대응이 필요하다고 강조한다.

가장 시급한 제도는 금융·통신·수사를 아우르는 보이스피싱 전담 조직 창설이다. 현재는 각 기관이 범죄 정보를 따로 보관하고, 공유도 제대로 안 되는 실정이다. 개별 금융사들이 이상거래탐지시스템(FDS)으로 보이스피싱 범죄 의심 계좌를 탐지해 지급 정지 등 조치를 하고 있지만, 범죄자 계좌 등을 탐지해도 금융사 간 즉시 정보 교류가 이뤄지지 않고, 금융사 간 분석 역량 등 편차가 심하다.

통신사와 금융사 간 연계만 빨라져도 대다수 보이스피싱 범죄를 막을 수 있다는 게 현장 중론이다. KT 관계자는 “아무리 경고 알람을 해도 전화를 받아 피해가 발생하는 경우가 있기 때문에 금융권 연계는 필수”라고 말했다.

“보이스피싱은 전통적인 사기 범죄보다 빠른 속도로 번진다. 계좌 추적이나 통화 기록 확보가 늦어지면 검거가 어렵다. 통신·금융·수사기관이 서로 정보를 빠르게 연계하도록 체계를 마련해야 한다.” 임준태 동국대 경찰사법대학 교수의 분석이다.

정부도 ‘통합 플랫폼’의 필요성을 인지하고 있다. 올해 안 도입을 목표로 금융·통신·수사 정보를 연계한 ‘보이스피싱 AI 플랫폼’을 준비하고 있다. 피해 의심 계좌를 전 금융권과 실시간 공유하고, 고객에게 경고 메시지를 발송하는 체계다. 피해 의심자 연락처, 범죄자 계좌 등 즉각 공유가 필요한 정보는 가공 없이 즉시 필요한 기관에 공유되고, 이를 받은 금융사는 즉각적으로 범죄자 계좌 지급 정지에 나설 수 있다. 중심은 금융위원회가 잡는다.

범죄에 한해서는 개인정보 규제를 푸는 방안도 필요하다는 의견도 나온다. 범죄자 성문 정보 같이 범죄 예방에 필요한 정보는 통신사들이 적극 활용할 수 있도록 풀자는 주장이다. 김승현 군산대 자율전공학부(범죄학 전공) 교수는 “민감한 개인정보인 성문 정보 전체를 사기업에 맡기긴 어렵다. 다만, 범죄 예방 목적으로는 목소리 정보를 활용할 수 있도록 규제를 완화하는 방안을 고려해볼 만하다”고 설명했다.

[반진욱 기자 ban.jinuk@mk.co.kr]

[본 기사는 매경이코노미 제2324호 (2025.08.27~09.02일자) 기사입니다]

[Copyright ⓒ 매경이코노미. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지.]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]