보이스 피싱을 피하기 위한 네트워크 방어막

손병호 게임을 한 번 해볼까?

혹시 보이스피싱을 당해 봤거나, 당한 사람들을 안다면 접어!

안타깝게도 나는 접어야 하는 사람 중 하나이다.

누구나 보이스 피싱을 당할 수 있다.

몇 년 전, 어머니에게 온 문자 하나. 내용인즉, 아들 핸드폰이 고장 나서 새로운 번호로 연락한다. 사건 처리를 위해 인증을 받아야 하니, 엄마 신분증 사본을 보내주고, 보내준 URL 주소를 클릭해 달라. 그 링크는 결국 원격조종 앱을 설치하게 하는 링크였다.

원격조종이 가능해지자, 돈을 터는 것은 누워서 떡먹기였다. 신분증 사본과 원격으로 조종하는 핸드폰으로 보이스피싱 사기꾼은 인증번호를 받고, 엄마 명의로 새로운 휴대폰 번호를 개통하였다. 이제 자신들이 만든 번호로 인증번호를 받을 수 있게 되어 새로운 은행의 금융인증서를 발급받았고, 각종 은행에 분산되어 있던 어머니의 자산을 자신들이 관리하는 대포 계좌로 이동하였다. 이 모든 과정은 그저 몇 시간이 걸렸을 뿐이다.

해당 문제를 알게 된 것은, 엄마가 나의 원래 번호로 핸드폰 문제 해결되었냐며 연락하셨기 때문이다. 집에 오는 길에 받은 엄마의 전화에 엄마가 뭔가를 헷갈리신 것인지 그냥 의아했는데, 집에 도착한 뒤에 이 이야기를 와이프에게 하니 혹시 보이스 피싱일지도 모르니 확인해 보라고 하지 않는가! 간담이 서늘해지고, 나는 엄마의 계좌를 확인했다.

막 계좌이체가 이루어지고 있는 것이 확인되었다. 내 눈 앞에서 말이다.

당시에도 나는 해외에서 살고 있었기 때문에 어떻게 해야 할지 몰랐다. 한국에 있는 사촌 누나에게 전화했다. 이모부도 근래에 보이스피싱을 당했다는 이야기를 들었기 때문에 경험자인 누나에게 어떻게 일을 처리해야 할지 물었다. 늦은 밤이었지만 고맙게도 누나가 급히 엄마 집으로 가서 각 계좌에 거래정지를 걸었다. 핸드폰 본인 인증을 하는 것을 어려워하시던 엄마였기 때문에 누군가 꼭 옆에 있어야 했다.

그 후 몇 주를 피해 회복에 힘쓰느라 엄마, 이모, 그리고 사촌 누나가 다같이 고생했다. 새 핸드폰을 만들고, 경찰에 신고하고, 각 은행을 방문하며 비밀번호를 바꾸느라 말이다. 황망한 엄마의 마음은 말할 것도 없다.

당연히 사기당한 엄마를 탓할 수는 없었다. 당시 엄마는 아버지를 떠나보내시고, 경황이 많이 없으셨다. 내가 해외에서도 엄마의 모든 은행과 행정 업무를 도와드리고 있었기 때문에 신분증 사본이나 핸드폰 인증을 부탁하는 일이 종종 있었다. 그러니, 문자는 충분히 그럴싸했다. 내가 봐도 내가 보낸 것처럼 보였다.

보이스 피싱 사업의 산업화, 고도화

다음의 그래프를 보면 한국의 보이스피싱 피해가 심각한 지경에 이르고 있다는 것을 알 수 있다. 2006년 이후, 보이스 피싱 피해건수는 폭발적으로 증가하였고, 1건당 피해액도 이제 2천만 원에 이르고 있다.

그림 1. 보이스 피싱 피해건수와 1건당 피해액 (출처: 통계청)

보이스피싱이 얼마나 큰 "산업"이 되었는지 알고 싶다면, 이코노미스트지의 쑤린 웡(Sue-Lin Wong)이 최근 발간한 스캠 주식회사라는 팟캐스트를 추천하고 싶다. 그녀의 리포팅에 의하면 "돼지 도축(Pig Butchering)"으로 표현되는, 즉 진짜 사람인 것으로 가장하여 피해자에게 접근, 관계를 형성하고, 돈을 뜨어내는 형태의 보이스 피싱 사기는 이미 산업화되어 있다. 이 산업의 주된 투자자들은 중국의 반부패 정책으로 갈 곳 잃은 홍콩, 마카오의 검은 자본으로 여겨진다. 이들은 중국 내에서 비슷한 형태의 사기 성공 방정식을 정립한 뒤, 상대적으로 정부의 지배력이 약하고 인건비가 싼 미얀마, 필리핀 같은 곳에서 투자하여 새로운 보이스 피싱 "공장"을 만들었다. 이 공장에서 온라인 프로필 뒤에 숨은 수많은 인원들이 컴퓨터와 스마트 폰을 통해 여러 "돼지" 즉, 사기의 타깃을 검색하고, 필터링하고, 설정한다. 이 공정은 상당히 고도화되었는데, 예를 들어, "돼지" 생산공정은 전문 세분화되어, 스캠에 사용되는 프로필을 만드는 사업체 따로, 타깃이 되는 사람들을 선정하고 몇 달 동안 문자, 영상 통화 등을 통하여 개인적인 신뢰를 쌓는 사업체들이 따로, 암호화폐 투자를 빌미로 돈을 투자 받고, 블락체인 상에서 돈을 세탁하는 사업체 따로, 그 돈을 인출하여 현금화하는 사업체가 따로 있다고 한다.

이런 산업 공정의 거대한 컨베이어 벨트 속에 재료로 잡혀 들어간다면, 아무리 스스로는 사기를 당하지 않을 것이라고 자신했던 사람이라도 대낮에 코를 베일 수 밖에 없다.

이 르포 기사의 슬픈 부분은 사기를 당한 사람들의 반응이다. 이들은 지식이 없거나 문제가 많은 사람들은 아니었다. 예를 들어, 최근 미국 캔자스에 있는 한 마을의 은행장이 암호화폐 투자 사기에 걸려서 약 690억 원에 가까운 은행과 지역 자산을 잃어버렸는데, 이 은행장은 20여 년 동안 지역에서 훌륭한 지역 사회의 구성원으로서, 그리고 지도자로서 명망이 있는 사람이었다. 돈을 잃은 은행 계좌 보유자들은 아직도 그 은행장이 이런 사기에 걸렸다는 것을 이해하지 못했다. 재판장에서 은행장 본인 스스로 범죄를 인정하면서도 자신이 어떻게 그런 사기에 걸려들었는지 모르겠다고 증언했다.

그러니 당신이 그 누구라도 안심하지 말라.

네트워크 방어막

이런 보이스 피싱이 성공하기 위해서 사기꾼은 피해자에게서 신뢰를 얻으려고 한다. 신뢰를 얻는 방법은 다양하다. 로맨스 스캠의 경우, 몇 달 동안의 개인적인 채팅을 통해서 서서히 관계를 쌓아가며 신뢰를 주고받기 때문에, 사기의 마지막 단계인 금전적 요구가 들어가면 피해자는 속수무책으로 당한다. 심지어 피해자가 거꾸로 사기꾼을 너무나 도와주고 싶어한다. 상당수의 피해자들이 본인이 사기를 당한다는 것을 알면서도, 사기꾼과 쌓은 관계를 너무 소중히 여겨 포기하지 못하기도 한다.

나에게 그 사람만큼 관심을 보여준 사람은 없었습니다.

피해자가 그런 이야기를 하는 경우는 꽤 흔하다.

양자간 신뢰와 다자간 신뢰

하지만 사기꾼과 쌓는 이러한 신뢰에는 한 가지 특징이 있다. 신뢰가 양자관계에서만 쌓인 것이다. 그림 2의 왼쪽을 보면, 시기꾼과 피해자의 관계는 일대일 관계를 통해서, 그들만의 대화, 추억을 기반으로 발생한다. 하지만 이러한 신뢰관계는 다자관계 속에서는 쉽게 거짓임이 드러난다. 왜? 제삼자의 역할 때문이다. 사기꾼과 피해자가 쌓은 양자간 신뢰를 공유하지 않는 제삼자의 존재는 피해자가 스스로의 상황을 한 발 멀리 볼 수 있도록 도와준다.

그림 2. 양자적 신뢰관계와 다자적 신뢰관계

예를 들어보자. 엄마의 보이스 피싱 피해를 그나마 빨리 알아차리고 대응할 수 있었던 것은 그 대화(비록 나를 가장하고 한 사기꾼과의 대화였지만)에서 제삼자인 나에게 엄마가 연락을 했기 때문이다. 캔자스의 마을 은행장도 자신의 암호화폐 투자 상황을 다른 사람들과 공유했으면 아마도 보다 빠르게 그것이 사기임을 알았을 수 있을 것이다.

이러한 관점에서 본다면 사회적으로 격리되어 있는 사람들이나 자신이 포함된 세상을 다른 사람들과 공유하지 않으려는 사람들은 보이스 피싱에 더 쉽게 노출되어 있다고 할 수 있다. 양자간의 신뢰를 자기 네트워크에 있는 다른 사람들과 공유하여 다자 간의 신뢰로 확장하지 않기 때문이다.

신뢰관계를 양자관계에서 다자관계를 넓히는 것이 보이스 피싱 사기를 피하는데 매우 결정적인 역할을 할 수 있다. 이 것이 바로 보이스 피싱을 방지하기 위한 네트워크 방어막을 치는 것이다.

보이스 피싱으로부터 네트워크 방어막은 어떻게 칠 수 있을까?

사기꾼도 바보는 아니다. 양자적 신뢰를 착취하기 위해서는 제삼자의 개입을 막는 것이 중요하다. 그래서 사기꾼은 다음과 같은 가스라이팅을 한다.

이 투자 기회는 너만 알아야 해. 내가 너만 믿으니까 알려주는 거야.

우리 관계를 이해할 수 있는 사람들은 없어. 그러니 그런 사람들이랑 이야기하는 것은 시간 낭비야.

이런 이야기를 들으면 쉽게 다른 사람들과 대화 내용을 공유하고 상담하기 어렵다. 따라서, 사기꾼과의 양자간 신뢰를 다자 관계에 노출시키는 것은 어려운 일일 수 밖에 없다.

그러면 어떻게 해야 다자관계로 쉽게 확장할 수 있을까?

연구에 의하면, 본인이 부끄럽거나 민망하게 되는 위험을 감수하고 다른 사람들에게 상담, 조언, 지원을 받게 하려면 두 가지가 중요하다. 첫째, 스스로에 대한 긍정적인 자기 확언(Self-affirmation)이 있어야 한다. 즉, 스스로가 좋은 사람이라는 확신이 있다면 위험부담을 감수하고 제삼자에게 도움을 구할 수 있다. 이러한 긍정적인 자기 확언은 자기 속에서 스스로 형성되어야 가장 효과적이기 때문에, 때때로 스스로가 괜찮은 사람이라는 것을 되뇌는 것이 중요할 것이다.

둘째, 네트워크로 연결된 사람들 간에 심리적 안전감(Psychological Safety)을 공유해야 한다. 심리적 안전감은 친구그룹이나 팀, 조직 같은 다자관계에 대한 주관적 인식에서 발생하는데, 어떤 공동체에 대한 심리적 안전감을 갖은 사람은 부끄러운 일을 공유하더라도 공동체가 이를 이해하고 포용할 것이라는 자신감이 생기게 된다. 이는 보다 쉽게 자신의 어려움을 그룹의 다른 이들과 공유하고, 서로에게 의지할 수 있도록 도와준다. 일반적으로 심리적 안전감은 팀이 새로운 아이디어를 공유하고 혁신을 만들어 내는 데에도 도움이 된다고 하는데, 이는 팀원들이 두려움 없이 자유롭게 스스로에 대해서 이야기할 수 있기 때문이다.

심리적 안전감은 어떻게 얻을 수 있을까? 이는 문화적인 측면이 강하기 때문에, 서로가 서로에게 심리적 안전감을 심어줄 수 있어야 한다. 프랑스 HEC대학과 미국 와튼 경영대학의 연구진이 한 연구에 따르면 상대방이 견지하는 심리적 안전감은 본인에게도 영향을 미쳐서 서로의 심리적 안전감을 상승시키는 효과를 만들어낸다. 즉, 내가 나의 인맥과 심리적 안전감을 공유한다면 자신의 네트워크 전체의 심리적 안전감을 증진할 수 있다는 것이다.

반대로 말한다면, 자신의 네트워크 구성원들과의 관계에서 스스로 심리적 안전감을 느끼지 못한다면, 보이스 피싱과 같은 위험상황에서 도움을 구하기 어려울 수 있다. 다자 관계에서 안전감을 느끼지 못하는 사람은 보이스 피싱 사기꾼이 주는 (거짓되지만 실질적이라고 느껴지는) 양자적 신뢰관계에 더욱 유혹될 수 밖에 없다.

한국인은 더욱 조심해야 한다.

미국 캘리포니아 주립 산타바바라 대학의 김희정 교수와 그 연구팀은 동양 사람들이 가까운 사람에게서 정서적, 사회적 지원을 구하기 어려워한다고 주장한다. 동양인은 일단 스스로의 체면을 지키는 것이 중요하다고 믿기 때문에, 부끄러운 일을 다자관계에서 공유하기 어려워하며, 더 나아가 도움을 청하는 일이 가까운 사람들에게 불편을 끼치는 행위라고 여겨 이를 피하려고 한다. 비록 동양인들이 항상 서로 몰려다니는 것처럼 보이지만, 실질적으로 서로에게 정서적 지원을 구하지 않는 것이다. 한국인이라면 많이들 공감할 것이다. 부끄러운 소식을 친한 친구들과 공유하는 것이 얼마나 어려운 것인지.

이런 면에서 한국인은 양자적 신뢰관계를 다자적 관계를 열어 네트워크로 방어막을 치는 것이 더 어려울 수 있다. 그렇기 때문에 스스로에게 긍정적인 이야기를 속삭여주는 자기 확언과 서로에게 심리적 안점감을 주는 것에 더욱 신경 써야 할 것이다.

그런 긍정적인, 다자 관계를 형성, 이용해야 보이스 피싱의 거대한 위협 앞에 조금이라도 안전할 수 있을 것이다.