​

 
먼저, 스캠과 사기의 차이점을 알아보자. 사실 스캠과 사기를 구분 짓는 명확한 기준은 없으며, 일반적으로 둘은 동일한 뜻으로 사용된다. 하지만 국가 또는 산업, 개인 별로 조금씩 다르게 해석할 수 있다. 스캠과 사기의 범주를 다르게 하거나, 스캠 및 사기 피해를 금전 손실 영역으로 제한해 지적 재산 탈취로 보지 않는다는 관점도 있다. 지적 재산으로는 로그인 계정 정보, 신용카드 정보, 휴대폰 연락처 등이 있다.

대한민국에서 스캠은 ‘로맨스 스캠’, ‘스캠 코인’처럼 특정 피해 유형에 한정하고, 사기는 현금이나 금품 재산 손실로 보는 것이 보편적이다. 피싱 및 스미싱, 스팸 등 연관 용어가 때로는 잘못 사용되기도 한다. 작년 포르투갈에서 열린 ‘글로벌 안티 스캠 서밋 2023(Global Anti-Scam Summit 2023)’에서는 스캠과 사기의 정의에 대해 공통되고 합의된 표준 개념이 없다는 사실을 지적했다.


　

The conference also shed light on the challenge of defining what constitutes a “scam.” Different countries and industries often define scams in their own terms.

For instance, Singapore classifies various scenarios, including ATO (Account Takeover), malware, and romance scams, as scams. In contrast, the UK and the US categorize scams as authorized online fraud where the payment was made by the account owner. Other types of fraud are deemed not to be scams and are defined as unauthorized transactions.

The fundamental question that arises is whether the industry should work towards global cross-industry common standards or accept separate definitions. If common standards are to be established, the challenge lies in determining what these standards should be, especially considering the diversity of industries and countries.

안랩은 스캠을 단순 사기와 다르게, 사칭과 협박 그리고 속임수를 이용해 상대방의 금전 또는 지적 재산을 획득하거나 자산에 허락 없이 접근하는 모든 사이버 범죄로 규정한다. 스캠과 사기는 상호 대체할 수 있는 유사한 개념이지만, 약간의 차이가 있다고 본 것이다. 그리고 혼재해 사용 중인 또 다른 용어인 ‘피싱’과 ‘스팸’도 아래와 같이 정의했다.



1. 스캠과 사기

(1) 정의: 불법적이며 부도덕한 방법으로 상대방을 속여 금전 또는 지적 재산을 얻거나 자산에 비인가 접근하는 범죄 행위이다.

(2) 차이점:

- 스캠: 전화, 문자, 이메일, 메신저, 소셜 미디어, 웹 사이트 등을 이용해 사용자가 자발적으로 스캐머가 의도한 행동을 하도록 한다.

- 사기: 금전 손실 피해에 좀 더 증점을 두고, 부당 거래나 명의 도용 등 사용자가 인지하지 못한 상황에서 발생하는 범죄 행위까지 포함한다.



2. 피싱

(1) 정의: 피해자가 신뢰하는 조직이나 개인을 사칭해 기밀 정보를 탈취하거나 자산에 접근하는 범죄 행위를 말한다. 로그인 계정 탈취, 신용카드 정보 탈취, 악성코드 설치 및 실행 등이 해당된다. 사회공학 기법을 이용한 스캠의 한 종류이기 때문에 ‘피싱 스캠’이라고도 하지만, 보통 ‘피싱’이라고 부른다. 수단과 방법에 따라 여러 하위 유형으로 나뉠 수 있다.

(2) 몇 가지 피싱 유형:

- 스미싱 (Smishing, SMS Phishing): 모바일 문자로 접근하는 피싱

- 보이스 피싱 (Vishing, Voice Phishing): 음성 전화로 접근하는 피싱

- 스피어 피싱 (Spear Phishing): 특정 개인 또는 조직을 표적으로 두고 실행 확률을 높인 타겟형 피싱

- BEC (Business Email Compromise): 상호 관계를 신뢰할 수 있는 사람이나 조직으로 위장해 재무 관리 담당자 또는 의사결정자에게 돈이나 민감 정보를 탈취하는 스피어 피싱



3. 스팸

(1) 정의: 불특정 다수에게 광고를 목적으로 전달되는 이메일, 전화 또는 문자를 통칭


온라인 스캠의 심각성

글로벌 안티 스캠 얼라이언스(Global Anti-Scam Alliance, GASA)가 발행한 ‘Global State of Scams Report 2023’ 보고서 내용에 따르면, 전 세계 인구의 59%가 한 달에 한 번 이상 스캠에 노출되고 있으며, 78% 이상은 작년 한 해 동안 스캠 피해를 입은 적이 있다고 답했다. 스캠으로 인한 전 세계 총 금전 손실 금액은 1조 260억 달러(한화 1,370조원)에 이른다. 불법적이고 비윤리적인 사기 범죄 금액이 전 세계 GDP의 1%가 넘는 상황이다. 금전 손실 규모는 국가마다 편차가 크며 특히 케냐, 베트남, 브라질, 태국 등 개발도상국에서 발생하는 손실이 크다.

이런 심각성은 미국 연방거래위원회(FTC, Federal Trade Commission)에서 소비자 신고 건수를 바탕으로 발행한 ‘Consumer Sentinel Network 2023’ 보고서에서도 확인할 수 있다. 지난 20년 동안 사기 신고 건수가 계속 늘고 있으며, 2023년에는 약 2600만 건의 사기 신고가 접수됐다. 이 중 27%는 실제 금전 손실 피해를 입었고, 총 피해 금액은 100억 달러(한화 13조 원)가 넘었다.

대한민국 경찰청에서 발행한 2023년 사이버범죄 트렌드 보고서에 따르면, 2022년에 발생한 온라인 사이버 범죄 사기가 전년 대비 10% 이상 증가했다. 한국인터넷진흥원에서 2023년 한 해 동안 확인한 모바일 스미싱 문자는 50만건이 넘는다. 국가정보원에서 확인한 2023년 로맨스 스캠 신고건은 2020년 대비 3배가 늘었으며, 피해 금액은 거의 50억 정도이다. 미신고 건수까지 고려하면 피해 규모는 더 클 것으로 추정된다. 안랩 V3 모바일 시큐리티(V3 Mobile Security) 제품에서 스캠으로 판단한 휴대폰 문자는 올해 1월 한 달에만 4,300건 이상이다.

스캠의 목적은 돈, 정보, 권한 획득 이 3가지로 구분할 수 있다. 스캐머는 이 중 한 가지만 노릴 때도 있고, 두 개 이상을 동시에 노릴 때도 있다. 개인 대상 스캠의 대부분의 목적은 돈이다. 이때 돈은 현금과 가상자산을 모두 포함하며, 스캐머는 사용자가 자발적으로 돈을 지불하거나 송금하도록 한다. 또는 무언가를 빌미로 사용자를 협박해 강압적으로 돈을 갈취하기도 한다.

스캐머가 노리는 정보는 로그인 계정, 신용카드 정보, 인적 사항, 휴대폰 연락처, 기업 비즈니스 기밀 정보 등 지적 재산이다. 정보 수집 그 자체가 목적인 경우도 있으나, 신용카드 정보처럼 최종 목적이 돈인 경우도 있고, 정보를 인질 삼아 돈을 갈취하기도 한다. 로그인 계정은 추후 악의적 행위를 하기 위한 준비물로 악용되기도 한다.

또한, 악성 파일 등을 이용해 사용자 시스템에 대한 접근 권한을 탈취한다. 예를 들어, 사용자가 모바일 메신저나 이메일로 전달된 내용을 신뢰해 파일을 자발적으로 실행한 것이 스캐머에게 시스템 원격 제어권을 주거나 기밀 데이터를 가져가도록 할 수 있다. 이는 이후 돈 갈취 수단으로 악용되기도 하고, 기업 비즈니스에 악영향을 주기도 한다.

　

[그림 1] 돈, 정보, 권한 획득을 목적으로 하는 스캠

어린 청소년부터 노인까지 전 연령층이 모두 스캠 피해자가 될 수 있다. 다만, 연령에 따라 피해 정도와 특징에는 차이가 있다. Consumer Sentinel Network 2023 보고서에 따르면, 젊은 연령층이 고령층보다 더 자주 금전 피해를 입는다. 이는 스캠이 주로 소셜 미디어나 온라인 웹 사이트, 모바일 앱 등 젊은 연령층의 이용 빈도가 높은 채널로 접근하기 때문이다. 하지만 평균 피해 금액은 고령층이 더 높으며, 특정 성별이 타겟이 되기도 한다. 몸캠피싱(Sextortion)은 대한민국 젊은 남성을 대상으로 하는 독특한 유형의 스캠이다. 스캐머는 여성으로 위장해 모바일 메신저로 사용자에게 접근한다. 사용자 남성과 관계를 형성하고, 남성의 성적인 음란 행위 사진 또는 영상을 인질로 삼아 송금하도록 협박한다.

직접적인 당사자 외에도 피해자가 있다. 스캠 과정 중 사칭이 있었다면 이름, 얼굴, 브랜드가 도용 당한 개인이나 조직 역시 또 다른 피해자다. 이들은 명예 훼손뿐만 아니라 경제적 피해를 입을 수도 있다.

전 세계에서 가장 큰 온라인 쇼핑몰인 아마존(Amazon)은 이러한 점을 고려해 피싱 웹사이트를 적극적으로 차단하고 조치하고 있다. 대한민국에서도 자주 사칭 대상이 되는 정부 기관이나 산업들이 지속적으로 주의를 권고하고 있다.


　

Reporting phishing emails

If you have received an email that you know is a forgery, or if you think you have been a victim of a phishing attack and you are concerned about your Amazon.com account, please let us know right away by reporting a phishing or spoofed email.

Guardians of Trust: 

Amazon’s Proactive Frontline Against Impersonation Scams: In 2022, Amazon initiated takedowns of more than 20,000 phishing websites, 10,000 phone numbers being used as part of impersonation scams and referred hundreds of bad actors globally to local law enforcement authorities.

　

스캠 범죄자는 우리가 일상생활에서 접하는 거의 모든 커뮤니케이션 채널을 통해 접근한다. 채널은 시간이 지나면서 계속 달라진다. 모바일 메신저 앱은 몇 년 전 까지만 해도 존재하지 않았던 방식이다. QR코드로 주차비를 결제하는 것 역시 이전에는 없었다. 스캐머가 사용자를 속이는 데 이용하는 수단은 다음과 같다.



(1) 모바일 메신저 앱

(2) 모바일 데이팅 앱

(3) 소셜 미디어

(4) 모바일 문자 메시지

(5) 음성 전화

(6) 웹사이트

(7) 이메일

(8) 온라인 삽입 광고

(9) 오프라인 (주차장, 상점 등)

(10) 기타



나라 별 사용되는 스캠 수단도 각가 다르다. 디지털 접근성 문화, 주 사용 플랫폼이 다 다르기 때문이다. GASA의 Asia Scam Report 2023 보고서에 따르면, 대한민국이 사용자가 가장 많이 노출된 스캠 채널은 모바일 문자 메시지(78.8%), 음성 전화(58.3%), 이메일(27.0%)이다. 일본은 이메일(54.7%), 문자 메시지(44.1%) 전화(33.9%) 순이다. 싱가포르는 전화(70.5%), 문자 메시지(65.8%), 모바일 메신저 앱(54.4%)이 주요 스캠 채널이다.

디지털 플랫폼은 국가별 차이가 더 뚜렷하다. 대한민국은 인스타그램(Instagram)(27.7), 국내 유명 포털 사이트(24.0%), 국내 유명 메신저 앱(20.0%) 플랫폼 순으로 스캠 위협에 노출될 수 있다. 인스타그램이 1위인 아시아 국가는 대한민국이 유일하다. 중국은 위챗(WeChat)(56.6%), 인도네시아는 왓츠앱(WhatsApp)(74.3%), 베트남은 페이스북(Facebook)(71.5%)이 가장 스캠 위험이 높은 플랫폼으로 꼽혔다.

스캐머는 여러 수단을 이용해 상대방에게 특정 행동을 유도함으로써 목적을 달성한다. 경우에 따라서는 2가지 이상의 행동을 유도할 수도 있다. 스캠 시나리오는 상황 또는 스캐머의 의도에 따라 얼마든지 달라질 수 있다.





1. 목적: 돈

(1) 투자

(2) 가입

(3) 물건 구매

(4) 부업 또는 취업

(5) 비용 납부 또는 송금

(6) 지불 대행 또는 구매 대행

(7) 협박으로 인한 지불



2. 목적: 정보

(1) 로그인 계정 ID/패스워드 입력

(2) 금융 정보 입력

(3) 기밀 사항 전달



3. 목적: 비인가 권한 획득

(1) 악성 앱/파일 설치 및 실행

(2) 악성 웹 페이지 접속



스캠은 여러 기준으로 분류할 수 있다. 같은 채널을 사용하더라도 스캐머의 목적이나 사용자를 유도하는 행위가 다르다. 예를 들어, 모바일 문자 메시지를 이용한 스캠, 즉 스미싱을 통해 누군가는 악성 앱을 설치하고, 휴대폰 내 개인정보나 2FA(Two-Factor Authentication) 정보를 빼앗긴다. 또 다른 누군가는 텔레그램(Telegram) 로그인 코드를 입력해 로그인 세션을 탈취당한다. 또, 어떤 스미싱은 주식이나 가상자산 투자를 권유하는 웹 페이지로 접속을 유도한다.



이메일을 이용한 스캠은 단순 협박성 내용일 수도 있고, 기업 조직의 로그인 계정을 탈취하는 피싱 웹페이지 링크일 수도 있다. 또는 랜섬웨어 파일이 첨부돼 있을 수도 있다. 스캠은 단일 기준으로 분류하기에는 너무나 복잡하고 광범위하다. 개인과 기업체를 노린 스캠은 스캐머와 시나리오가 각각 다르다.

　

따라서 ‘온라인 스캠’ 시리즈에서는 스캠 유형을 하나의 기준으로 분류하지 않고 몇 가지 공통 특징이 있는 유형끼리 묶어서 설명할 예정이다.

그렇다면 왜 생각보다 많은 사용자가 스캠에 당하는 것일까? 첫번째 이유는 ‘인지 왜곡’이다. 스캐머는 주로 사회공학 기법을 이용해 사용자의 심리적 취약성을 노린다. 이들은 사용자의 인지를 왜곡하고, 다양한 방법으로 조작한다. 인지가 왜곡된 사용자는 종종 경고 신호를 무시하거나 상황을 정당화해 스캠에 빠지기 더 쉽다.

두번째는 스캠이 사용자의 ‘욕망’이나 ‘욕심’을 이용하기 때문이다. 스캐머는 수억 원의 차와 값비싼 물건, 그리고 조작된 계좌 입금 내역 사진을 보여주며 큰 이익을 얻을 수 있다고 유혹한다. 집에서 손 쉽게 돈을 벌 수 있는 부업이라는 말에 많은 사용자가 혹한다.

세번째 이유로는 ‘사용자와의 심리적 관계 형성 시도’가 있다. 스캐머는 사용자의 신뢰를 얻기 위해 다양한 심리적 관계 형성 기술을 사용한다. 며칠 이상 대화를 하며 신뢰 관계를 쌓기도 하고, 사소한 것부터 차근차근 신뢰를 형성하기 위해 노력한다. 어느 정도 스캐머와 신뢰를 쌓은 사용자는 의심하지 않고 돈을 보내거나 개인정보를 제공한다.

네번째는 ‘심리적 압박’이다. 스캐머는 사용자에게 종종 긴급한 상황이나 급한 조치가 필요하다는 압박감을 준다. 이런 상황에서 사용자는 판단력을 상실하고 스캐머가 요구하는 조건을 있는 그대로 받아들이게 된다.

다섯번째 이유는 ‘나날이 발전하는 스캐머의 기술적인 트릭’이다. 스캐머는 실제와 매우 흡사한 웹 페이지와 문구를 만들고, 이메일 발신자 주소를 교묘하게 바꾼다. 스캐머 본인이 직접 하지 않고 다크웹 등 불법적인 거래 시장에서 만들어진 제작 툴을 이용하거나 의뢰한다. 최근 해외 스캐머는 손쉽게 사용가능한 외국어 번역 툴을 이용해 자연스러운 피싱 문구를 만들기도 한다.

마지막으로 ‘사용자의 정보 부족’도 스캠 피해에 크게 한 몫 한다. 대다수 사용자는 스캠의 다양한 최신 수법을 잘 모른다. 바쁜 일상 때문에 이를 매번 의심하거나 확인하지 못하기도 한다. 별 생각 없이 정보를 입력하거나 파일을 실행하는 행위도 모두 스캐머가 의도한 것이다.

국가 정부 기관과 산업계에서는 이에 대응하기 위해 자동화된 스캠 필터와 차단 장치, 범죄자 검거, 보안 제품 등 많은 노력을 하고 있지만, 안타깝게도 우리는 여전히 스캠에 당할 확률이 높다. 개인과 조직은 우리 일상 속 다양한 스캠 수법을 미리 파악해 주의할 필요가 있다.

[출처 : 안랩(((www.ahnlab.com)]