매트릭 바탕으로 전술별 세부기법 정의하고 AI 기반 분류 모델 학습 필요
[보안뉴스= 정진 카이스트 사이버보안연구센터 연구원] 디지털 기술이 발전함에 따라, 보이스피싱은 과거의 단순 전화 사기에서 벗어나 피싱 사이트 구축이나 음성 합성 등 기술적인 수단을 악용하여 더욱 정교하고 조직화된 범죄 양상을 띠고 있다. 정부와 금융기관이 시행한 여러 대응책들, 예를 들어 관련 특별법의 시행이나 은행의 24시간 의심거래 모니터링 체계 도입에도 불구하고 2024년 집계된 보이스피싱 피해액 및 전년대비 피해액 증감률이 역대 최고를 기록했다.
[자료: gettyimagesbank]
이러한 수치는 보이스피싱 범죄 수단이 대응 방법보다 더 빠르게 발전하고 있음을 방증한다. 특히, 최근에는 생성형 AI를 활용해 피해자 맞춤형 대화 스크립트를 제작하거나 딥페이크 음성으로 가족, 지인, 또는 상사 등을 흉내내는 사례가 등장하고 있다.
이처럼 보이스피싱 범죄가 기술적·심리적 요소와 결합되면서 키워드 기반 탐지나 신고 누적 방식 등 데이터 기반 분석 중심의 대응 방법만으로는 범죄의 전개 과정을 충분히 분석하기가 점점 더 어려워지고 있다. 따라서 보이스피싱 범죄자가 피해자를 속이고 행동을 통제하여 금전적 이득을 얻기까지의 과정을 단계별로 구조화해 분석하는 새로운 접근이 필요하다.
이러한 관점에서 여기에서는 보이스피싱 범죄 절차를 전술 단위로 세분화하고 이를 체계적으로 정리한 보이스피싱 전술 매트릭을 소개하고자 한다. 또한, 이 매트릭을 실 사례에 적용해 각 전술들이 보이스피싱 범죄 시나리오에서 어떻게 구성되는지도 함께 살펴본다.
▲연도별 보이스피싱 총 피해액 및 전년대비 피해액 증감률 [자료: 경찰청]
보이스피싱 대응 방안의 한계
앞서 서술했듯이 지금까지의 보이스피싱 대응은 주로 신고된 번호, 이상거래 탐지 시스템(FDS) 등 데이터 기반 분석을 중심으로 이루어져 왔다. 그러나 이러한 방식은 수법의 변형이나 카카오톡, 인스타그램 등의 새로운 접근 채널의 등장으로 인해 동일한 범죄도 전혀 다른 형태로 분류될 수 있다는 한계를 지니고 있다. 다음 표는 최근에 관찰된 신종 보이스피싱 수법의 일부를 정리한 것이다.
▲신종 보이스피싱 수법 [자료: 피싱아이즈]
이러한 한계를 극복하기 위해서는 범죄의 단계와 각 단계에서 사용되는 전술에 주목하여 전술 단위로 구조화된 매트릭을 설계하는 것이 필요하다고 판단했다. 이러한 접근 방법은 사이버 공격 분석에서 활발히 사용되고 있다. 대표적인 것이 MITRE ATT&CK 프레임워크[인데, 이 프레임워크는 해커가 공격을 수행할 때 사용하는 전술(Tactics)과 기법(Techniques)을 단계별로 정리한 지식 베이스라고 할 수 있다.
▲MITRE ATT&CK 프레임워크 [자료: MITRE ATT&CK®]
위 그림과 같이 MITRE ATT&CK에서는 공격자가 목표 시스템에 대해 무엇을 수행하는지 그리고 그 목적을 이루기 위한 구체적인 방법이 계층적으로 서술되어 있다. 하지만 보이스피싱은 사람을 속이는 심리적 조작에 초점을 두기 때문에 MITRE ATT&CK의 기술 중심 구조만으로는 설명하기 어렵다. 따라서 이러한 범죄 특성을 반영할 수 있는 보이스피싱 대응 전용 매트릭이 필요하다.
보이스피싱 전술 매트릭
보이스피싱 범죄를 전술 단위로 나눈다는 것은 범죄자가 어떤 목적을 가지고 어떤 행동을 하는지 단계별로 구분한다는 의미다. 여기에서 전술은 단순한 행위가 아니라 피해자에게 그러한 행동을 한 이유와 의도에 초점을 맞춘 개념이다. 이와 같이 전술별로 범죄 과정을 구분하면 각 단계에서 반복적으로 드러나는 공통된 패턴과 신호를 파악할 수 있다. 예를 들어, 권위 있는 직함을 이용해 피해자의 경계심을 낮춘다든가 혹은 녹음에 제3자의 목소리가 들어가면 안 되기 때문에 주변에 사람이 없는 곳으로 유도하는 행위가 관찰된다.
이와 같이 보이스피싱 범죄를 전술 단위로 규정하면 각각의 전술에서 관찰 가능한 신호와 특징을 체계화할 수 있고, 그런 신호들의 조합과 순서를 분석함으로써 범죄의 전개 과정을 이해할 수 있게 된다. 이러한 접근은 변종·신종 보이스피싱 범죄를 일반화해서 탐지하는 근거가 될 수 있는데, 표현이 달라도 동일한 전술 흐름이 드러난다면 그 범죄는 동일한 유형으로 분류될 수 있기 때문이다. 이러한 기준을 바탕으로 보이스피싱 전술 매트릭을 9개의 전술로 정리하고, 각 항목의 의미, 특징, 그리고 예시를 아래 표에 정리했다.
▲보이스피싱 전술 매트릭 [자료: 카이스트 사이버보안연구센터]
보이스피싱 전술의 흐름
▲보이스피싱 전술 흐름도 [자료: 카이스트 사이버보안연구센터]
위 그림은 보이스피싱의 개별 전술들의 흐름을 보여준다. 개별 전술(예: 신뢰 구축, 고립 및 접촉 제어, 탐색 등)은 각각 관찰 가능한 특징을 가지지만, 실제 보이스피싱에서는 이 전술들이 차례로 연결되거나 겹치면서 하나의 범죄 유형을 만든다.
대부분의 보이스피싱 사례는 먼저 사전 정보 수집과 신뢰 형성으로 피해자의 경계심을 낮춘 뒤 정보를 확보하거나 행동을 통제한 다음 피해자의 행동을 유도하여 금전 탈취로 이어진다. 따라서 사건을 분석할 때에는 단편적 발화나 순간적 행동만을 보는 것이 아니라, 전술들이 어떤 순서로 어떤 방식으로 결합했는지를 따라가며 전체 흐름을 분석해야 한다.
실 사례 적용
보이스피싱 전술 매트릭을 기반으로 금융감독원 공개데이터를 유형별로 분석해 왔다. 이번 연구에서는 금융감독원이 분류한 사례를 대상으로 전술 매트릭을 적용하여 대표적인 두 유형의 전개 과정을 전술 단위로 재구성한 예시를 살펴보도록 한다.
# 유형 1: 수사기관 사칭형
수사기관 사칭형은 검찰청 수사관, 금융감독원 등 공적 기관을 사칭하여 피해자에게 접근하는 방식이다. 현재 유형의 시나리오 예시는 실제 금전 유출로 즉각 연결되지 않더라도, 범죄자가 권위적 지위를 내세워 피해자의 신뢰를 구축한 후 개인 정보를 확보할 수 있음을 보여준다. 관찰된 전개 흐름은 아래 그림과 같다.
▲수사기관 사칭형의 보이스피싱 전술 흐름 [자료: 카이스트 사이버보안연구센터]
1. 초기 접촉: 범죄자가 피해자에게 전화로 접촉한다.
2. 신뢰 구축: 자신을 검찰청 소속 수사관이라고 소개하는 등 권위적 요소를 제시하여 피해자의 신뢰를 형성한다. 범죄자가 피해자의 직업 등 일부 신상 정보를 알고 있다는 언급은 신뢰 형성에 크게 작용한다.
3. 고립 및 접촉 제어: 범죄자는 녹취·절차 등의 명분을 들어 피해자에게 주변에 사람이 없는 장소로 이동하라고 요구하는 등 외부와의 접촉을 차단하려 시도한다.
4. 탐색 및 정보 수집: 피해자의 은행, 계좌번호, 자산 현황 등 금융·신상 정보를 대화로 확인한다.
5. 행동 통제: 범죄자는 피해자에게 자신의 이름·소속·사건 번호를 메모하게 하거나 특정 행동을 유도하여 피해자의 행동을 통제한다.
이와 같이 수사기관 사칭형은 권위 기반의 신뢰 형성 이후 고립을 통해 심리적 또는 물리적인 통제를 강화하고, 그 상태에서 피해자의 개인 정보를 탐색하고 수집하는 흐름을 보인다.
# 유형 2: 대출 사기형
대출 사기형은 금융기관을 사칭하여 저금리 대출, 신용 등급 향상 등의 혜택을 제시하며 피해자를 유인하는 유형이다. 이 유형의 시나리오는 피해자에게 직접적 이익을 미끼로 제공함으로써 초기부터 경계심을 낮추고, 이후 기술적 수단을 통해 기기 접근 및 정보 수집으로 이어지는 특징을 보인다. 전개 흐름은 아래 그림과 같다.
▲대출 사기형의 보이스피싱 전술 흐름 [자료: 카이스트 사이버보안연구센터]
1. 초기 접촉: 범죄자가 피해자에게 전화 등으로 먼저 접촉한다.
2. 신뢰 구축: 중도 수수료 면제, 저금리 등의 혜택을 제시하여 피해자의 경계심을 완화시킨다.
3. 행동 통제: 범죄자는 피해자에게 피싱 사이트의 IP 또는 접속 방법을 안내하며 사이트 접속을 유도한다.
4. 기기 제어: 피싱 사이트 접속이나 안내에 따라 악성 앱 다운로드를 유도하여 피해자 기기에서 원격 제어나 인증 우회 등의 권한을 확보한다. 이 앱은 정상 금융 앱으로 위장되어 있다.
5. 정보 수집: 설치된 악성 앱을 통해 피해자의 이름, 전화번호 등 개인정보를 수집한다.
대출 사기형은 혜택 제시로 시작하여 경계심을 낮춘 후 기기 제어를 통해 정보 수집으로 전환되는 흐름을 특징으로 한다.
수사기관 사칭형과 대출 사기형에 대해 두 유형 모두 제안한 전술 매트릭으로 설명이 가능함을 확인했다. 분석한 사례에서는 사기 수단 준비 및 금전 탈취 단계가 드러나지 않아 전술 흐름에서 제외했지만, 나머지 전술들이 각 유형에 따라 다른 조합과 순서로 활용되는 것을 볼 수 있었다.
보이스피싱은 더 이상 단편적 범죄가 아니라 기술적 수단과 심리적 조작이 결합된 복합적인 범죄이다. 이를 효과적으로 대응하기 위해서는 데이터의 분석이 아닌 범죄자가 어떤 전술을 구사하고 어떻게 피해자를 통제하는지를 구조적으로 이해해야 한다. 이러한 이해를 돕기 위해 보이스피싱 전술과 특징을 매트릭으로 정의했고, 이 매트릭을 바탕으로 전술별 세부 기법을 정의하고 AI 기반 분류 모델을 학습시킨다면 보이스피싱에 대한 효과적인 대응과 변종·신종 보이스피싱 또한 정확하게 탐지하고 대응할 수 있을 것으로 기대한다.
이번 연구는 2025년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구(2710085151, 알려지지 않은 신종 보이스피싱 탐지·예측 기술개발)이다.
[글_ 정진 카이스트 사이버보안연구센터 연구원]
[보안뉴스= 정진 카이스트 사이버보안연구센터 연구원] 디지털 기술이 발전함에 따라, 보이스피싱은 과거의 단순 전화 사기에서 벗어나 피싱 사이트 구축이나 음성 합성 등 기술적인 수단을 악용하여 더욱 정교하고 조직화된 범죄 양상을 띠고 있다. 정부와 금융기관이 시행한 여러 대응책들, 예를 들어 관련 특별법의 시행이나 은행의 24시간 의심거래 모니터링 체계 도입에도 불구하고 2024년 집계된 보이스피싱 피해액 및 전년대비 피해액 증감률이 역대 최고를 기록했다.
[자료: gettyimagesbank]
이러한 수치는 보이스피싱 범죄 수단이 대응 방법보다 더 빠르게 발전하고 있음을 방증한다. 특히, 최근에는 생성형 AI를 활용해 피해자 맞춤형 대화 스크립트를 제작하거나 딥페이크 음성으로 가족, 지인, 또는 상사 등을 흉내내는 사례가 등장하고 있다.
이처럼 보이스피싱 범죄가 기술적·심리적 요소와 결합되면서 키워드 기반 탐지나 신고 누적 방식 등 데이터 기반 분석 중심의 대응 방법만으로는 범죄의 전개 과정을 충분히 분석하기가 점점 더 어려워지고 있다. 따라서 보이스피싱 범죄자가 피해자를 속이고 행동을 통제하여 금전적 이득을 얻기까지의 과정을 단계별로 구조화해 분석하는 새로운 접근이 필요하다.
이러한 관점에서 여기에서는 보이스피싱 범죄 절차를 전술 단위로 세분화하고 이를 체계적으로 정리한 보이스피싱 전술 매트릭을 소개하고자 한다. 또한, 이 매트릭을 실 사례에 적용해 각 전술들이 보이스피싱 범죄 시나리오에서 어떻게 구성되는지도 함께 살펴본다.
▲연도별 보이스피싱 총 피해액 및 전년대비 피해액 증감률 [자료: 경찰청]
보이스피싱 대응 방안의 한계
앞서 서술했듯이 지금까지의 보이스피싱 대응은 주로 신고된 번호, 이상거래 탐지 시스템(FDS) 등 데이터 기반 분석을 중심으로 이루어져 왔다. 그러나 이러한 방식은 수법의 변형이나 카카오톡, 인스타그램 등의 새로운 접근 채널의 등장으로 인해 동일한 범죄도 전혀 다른 형태로 분류될 수 있다는 한계를 지니고 있다. 다음 표는 최근에 관찰된 신종 보이스피싱 수법의 일부를 정리한 것이다.
▲신종 보이스피싱 수법 [자료: 피싱아이즈]
이러한 한계를 극복하기 위해서는 범죄의 단계와 각 단계에서 사용되는 전술에 주목하여 전술 단위로 구조화된 매트릭을 설계하는 것이 필요하다고 판단했다. 이러한 접근 방법은 사이버 공격 분석에서 활발히 사용되고 있다. 대표적인 것이 MITRE ATT&CK 프레임워크[인데, 이 프레임워크는 해커가 공격을 수행할 때 사용하는 전술(Tactics)과 기법(Techniques)을 단계별로 정리한 지식 베이스라고 할 수 있다.
▲MITRE ATT&CK 프레임워크 [자료: MITRE ATT&CK®]
위 그림과 같이 MITRE ATT&CK에서는 공격자가 목표 시스템에 대해 무엇을 수행하는지 그리고 그 목적을 이루기 위한 구체적인 방법이 계층적으로 서술되어 있다. 하지만 보이스피싱은 사람을 속이는 심리적 조작에 초점을 두기 때문에 MITRE ATT&CK의 기술 중심 구조만으로는 설명하기 어렵다. 따라서 이러한 범죄 특성을 반영할 수 있는 보이스피싱 대응 전용 매트릭이 필요하다.
보이스피싱 전술 매트릭
보이스피싱 범죄를 전술 단위로 나눈다는 것은 범죄자가 어떤 목적을 가지고 어떤 행동을 하는지 단계별로 구분한다는 의미다. 여기에서 전술은 단순한 행위가 아니라 피해자에게 그러한 행동을 한 이유와 의도에 초점을 맞춘 개념이다. 이와 같이 전술별로 범죄 과정을 구분하면 각 단계에서 반복적으로 드러나는 공통된 패턴과 신호를 파악할 수 있다. 예를 들어, 권위 있는 직함을 이용해 피해자의 경계심을 낮춘다든가 혹은 녹음에 제3자의 목소리가 들어가면 안 되기 때문에 주변에 사람이 없는 곳으로 유도하는 행위가 관찰된다.
이와 같이 보이스피싱 범죄를 전술 단위로 규정하면 각각의 전술에서 관찰 가능한 신호와 특징을 체계화할 수 있고, 그런 신호들의 조합과 순서를 분석함으로써 범죄의 전개 과정을 이해할 수 있게 된다. 이러한 접근은 변종·신종 보이스피싱 범죄를 일반화해서 탐지하는 근거가 될 수 있는데, 표현이 달라도 동일한 전술 흐름이 드러난다면 그 범죄는 동일한 유형으로 분류될 수 있기 때문이다. 이러한 기준을 바탕으로 보이스피싱 전술 매트릭을 9개의 전술로 정리하고, 각 항목의 의미, 특징, 그리고 예시를 아래 표에 정리했다.
▲보이스피싱 전술 매트릭 [자료: 카이스트 사이버보안연구센터]
보이스피싱 전술의 흐름
▲보이스피싱 전술 흐름도 [자료: 카이스트 사이버보안연구센터]
위 그림은 보이스피싱의 개별 전술들의 흐름을 보여준다. 개별 전술(예: 신뢰 구축, 고립 및 접촉 제어, 탐색 등)은 각각 관찰 가능한 특징을 가지지만, 실제 보이스피싱에서는 이 전술들이 차례로 연결되거나 겹치면서 하나의 범죄 유형을 만든다.
대부분의 보이스피싱 사례는 먼저 사전 정보 수집과 신뢰 형성으로 피해자의 경계심을 낮춘 뒤 정보를 확보하거나 행동을 통제한 다음 피해자의 행동을 유도하여 금전 탈취로 이어진다. 따라서 사건을 분석할 때에는 단편적 발화나 순간적 행동만을 보는 것이 아니라, 전술들이 어떤 순서로 어떤 방식으로 결합했는지를 따라가며 전체 흐름을 분석해야 한다.
실 사례 적용
보이스피싱 전술 매트릭을 기반으로 금융감독원 공개데이터를 유형별로 분석해 왔다. 이번 연구에서는 금융감독원이 분류한 사례를 대상으로 전술 매트릭을 적용하여 대표적인 두 유형의 전개 과정을 전술 단위로 재구성한 예시를 살펴보도록 한다.
# 유형 1: 수사기관 사칭형
수사기관 사칭형은 검찰청 수사관, 금융감독원 등 공적 기관을 사칭하여 피해자에게 접근하는 방식이다. 현재 유형의 시나리오 예시는 실제 금전 유출로 즉각 연결되지 않더라도, 범죄자가 권위적 지위를 내세워 피해자의 신뢰를 구축한 후 개인 정보를 확보할 수 있음을 보여준다. 관찰된 전개 흐름은 아래 그림과 같다.
▲수사기관 사칭형의 보이스피싱 전술 흐름 [자료: 카이스트 사이버보안연구센터]
1. 초기 접촉: 범죄자가 피해자에게 전화로 접촉한다.
2. 신뢰 구축: 자신을 검찰청 소속 수사관이라고 소개하는 등 권위적 요소를 제시하여 피해자의 신뢰를 형성한다. 범죄자가 피해자의 직업 등 일부 신상 정보를 알고 있다는 언급은 신뢰 형성에 크게 작용한다.
3. 고립 및 접촉 제어: 범죄자는 녹취·절차 등의 명분을 들어 피해자에게 주변에 사람이 없는 장소로 이동하라고 요구하는 등 외부와의 접촉을 차단하려 시도한다.
4. 탐색 및 정보 수집: 피해자의 은행, 계좌번호, 자산 현황 등 금융·신상 정보를 대화로 확인한다.
5. 행동 통제: 범죄자는 피해자에게 자신의 이름·소속·사건 번호를 메모하게 하거나 특정 행동을 유도하여 피해자의 행동을 통제한다.
이와 같이 수사기관 사칭형은 권위 기반의 신뢰 형성 이후 고립을 통해 심리적 또는 물리적인 통제를 강화하고, 그 상태에서 피해자의 개인 정보를 탐색하고 수집하는 흐름을 보인다.
# 유형 2: 대출 사기형
대출 사기형은 금융기관을 사칭하여 저금리 대출, 신용 등급 향상 등의 혜택을 제시하며 피해자를 유인하는 유형이다. 이 유형의 시나리오는 피해자에게 직접적 이익을 미끼로 제공함으로써 초기부터 경계심을 낮추고, 이후 기술적 수단을 통해 기기 접근 및 정보 수집으로 이어지는 특징을 보인다. 전개 흐름은 아래 그림과 같다.
▲대출 사기형의 보이스피싱 전술 흐름 [자료: 카이스트 사이버보안연구센터]
1. 초기 접촉: 범죄자가 피해자에게 전화 등으로 먼저 접촉한다.
2. 신뢰 구축: 중도 수수료 면제, 저금리 등의 혜택을 제시하여 피해자의 경계심을 완화시킨다.
3. 행동 통제: 범죄자는 피해자에게 피싱 사이트의 IP 또는 접속 방법을 안내하며 사이트 접속을 유도한다.
4. 기기 제어: 피싱 사이트 접속이나 안내에 따라 악성 앱 다운로드를 유도하여 피해자 기기에서 원격 제어나 인증 우회 등의 권한을 확보한다. 이 앱은 정상 금융 앱으로 위장되어 있다.
5. 정보 수집: 설치된 악성 앱을 통해 피해자의 이름, 전화번호 등 개인정보를 수집한다.
대출 사기형은 혜택 제시로 시작하여 경계심을 낮춘 후 기기 제어를 통해 정보 수집으로 전환되는 흐름을 특징으로 한다.
수사기관 사칭형과 대출 사기형에 대해 두 유형 모두 제안한 전술 매트릭으로 설명이 가능함을 확인했다. 분석한 사례에서는 사기 수단 준비 및 금전 탈취 단계가 드러나지 않아 전술 흐름에서 제외했지만, 나머지 전술들이 각 유형에 따라 다른 조합과 순서로 활용되는 것을 볼 수 있었다.
보이스피싱은 더 이상 단편적 범죄가 아니라 기술적 수단과 심리적 조작이 결합된 복합적인 범죄이다. 이를 효과적으로 대응하기 위해서는 데이터의 분석이 아닌 범죄자가 어떤 전술을 구사하고 어떻게 피해자를 통제하는지를 구조적으로 이해해야 한다. 이러한 이해를 돕기 위해 보이스피싱 전술과 특징을 매트릭으로 정의했고, 이 매트릭을 바탕으로 전술별 세부 기법을 정의하고 AI 기반 분류 모델을 학습시킨다면 보이스피싱에 대한 효과적인 대응과 변종·신종 보이스피싱 또한 정확하게 탐지하고 대응할 수 있을 것으로 기대한다.
이번 연구는 2025년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구(2710085151, 알려지지 않은 신종 보이스피싱 탐지·예측 기술개발)이다.
[글_ 정진 카이스트 사이버보안연구센터 연구원]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
