온라인 스캠: 스캠이란 무엇인가?

주변에 온라인 스캠 사기 피해자가 있는가? 혹은 본인이 스캠에 당할 뻔했거나 당한 적이 있는가? 본 글은 온라인 스캠이 무엇인지 알아보고 현재 얼마나 많은 스캠이 누구를 대상으로 어떻게 접근하여 어떤 피해를 주는지 그 현황을 다룬다. 본 글은 안랩에서 자체적으로 파악한 데이터와 외부에 공개된 정보를 참고하여 작성하였다. 외부 정보를 인용한 경우에는 그 출처를 명시하였다.

내용

1. 스캠이란 무엇인가
   • 스캠 vs. 사기 vs. 피싱
2. 얼마나 심각한가
3. 목적이 무엇인가
4. 누가 당하는가
5. 어떻게 접근하는가
6. 무엇을 하도록 유도하는가
7. 어떤 종류가 있는가
8. 왜 당할 수밖에 없는가
9. 참고 자료

---

스캠이란 무엇인가

스캠은 부도덕한 방법으로 상대방을 속여서 금전 또는 지적 재산을 얻거나 자산에 허락 없이 접근하는 사기 범죄 행위이다. 온라인 스캠은 디지털상에서 발생하는 스캠을 말한다. 소통 수단이 주로 온라인으로 변경된 현실에서 ‘스캠’이란 표현은 대부분 ‘온라인 스캠’을 의미한다. 스캠이 다른 사이버 범죄와 다른 핵심적인 특징은 상대방을 기만하고 속이는 사기라는 점이다.  

스캠 vs. 사기 vs. 피싱

스캠과 사기를 구분짓는 명확한 기준은 없다. 일반적으로 스캠과 사기는 같은 뜻으로 사용되므로, 온라인 스캠과 온라인 사기를 같은 의미로 해석해도 무방하다. 하지만, 국가나 산업계 또는 개인마다 해석의 차이가 있을 수 있다. 같은 국가 문화권 내에서도 스캠과 사기의 범주를 달리 하기도 한다. 스캠과 사기의 피해를 금전 손실 영역으로 한정하고, 지적 재산 탈취는 포함시키지 않는 인식도 있다. 로그인 계정 정보, 신용카드 정보, 휴대전화 연락처 등이 지적 재산에 해당한다. 대한민국에서 스캠은 ‘로맨스 스캠’, ‘스캠 코인’처럼 특정 피해 유형에 한하는 것으로 주로 여기고, 사기는 현금이나 금품 재산 손실로 인식하고 있는 것이 일반적이다. 피싱, 스미싱, 스캠 등 연관 용어가 때로는 잘못된 문맥상에서 사용되기도 한다. 작년에 포르투갈에서 열렸던 Global Anti-Scam Summit 2023에서는 스캠과 사기 정의에 대해 공통되고 합의된 표준 개념이 없다는 사실을 지적하였다.^[1][2]

The conference also shed light on the challenge of defining what constitutes a “scam.” Different countries and industries often define scams in their own terms. For instance, Singapore classifies various scenarios, including ATO (Account Takeover), malware, and romance scams, as scams. In contrast, the UK and the US categorize scams as authorized online fraud where the payment was made by the account owner. Other types of fraud are deemed not to be scams and are defined as unauthorized transactions. The fundamental question that arises is whether the industry should work towards global cross-industry common standards or accept separate definitions. If common standards are to be established, the challenge lies in determining what these standards should be, especially considering the diversity of industries and countries.

안랩은 ‘스캠’을 사칭과 협박 그리고 속임수를 이용하여 상대방의 금전 또는 지적 재산을 얻거나 자산에 허락 없이 접근하는 모든 사이버 범죄로 규정한다. 사기와 스캠을 상호 대체할 수 있는 유사한 개념으로 보지만, 약간의 차이가 있다고 판단하였다. 그리고 혼재되어 사용 중인 다른 용어를 다음과 같이 정의하였다. 이 글에서는 문맥에 따라 스캠과 사기 용어를 둘 다 사용한다. 피싱, 스미싱 등 스캠의 하위 유형은 그 특징을 명확히 설명하기 위해 명칭 그대로 사용한다.

• 스캠과 사기 (Scam and Fraud)
  • 정의: 불법적이며 부도덕한 방법으로 상대방을 속여서 금전 또는 지적 재산 얻거나 자산에 비인가 접근하는 범죄 행위이다.
  • 차이:
    • 스캠: 직접적인 채널(전화, 문자, 이메일, 메신저, 소셜 미디어, 웹 사이트 등)을 이용하여 피해자가 자발적으로 스캐머(범죄자, 공격자)가 의도한 행동을 하도록 한다.
    • 사기: 금전 손실 피해에 좀 더 초점을 두며, 부당 거래나 명의 도용 등 피해자가 인지하고 있지 못한 상황에서 발생하는 범죄 행위까지 포함한다.

• 피싱 (Phishing)
  • 정의: 피해자가 신뢰하는 조직이나 개인을 사칭하여 기밀 정보를 탈취하거나 자산에 접근하는 범죄 행위이다. 로그인 계정 탈취, 신용카드 정보 탈취, 악성코드 설치 및 실행 등이 해당된다. 사회공학 기법을 이용한 스캠의 한 종류이기 때문에 피싱 스캠이라고도 하지만, 일반적으로 피싱이라고 부른다. 수단과 방법에 따라 여러 하위 유형으로 나누어질 수 있다.
  • 몇 가지 피싱 유형:
    • 스미싱 (Smishing, SMS Phishing): 모바일 문자로 접근하는 피싱이다.
    • 보이스 피싱 (Vishing, Voice Phishing): 음성 전화로 접근하는 피싱이다.
    • 스피어 피싱 (Spear Phishing): 특정 개인 또는 조직을 표적으로 두고 실행 확률을 높힌 타겟형 피싱이다.
    • BEC (Business Email Compromise): 상호 관계를 신뢰할 수 있는 사람이나 조직으로 위장하여 재무 관리 담당자 또는 의사결정자에게 돈이나 민감 정보를 탈취하는 스피어 피싱이다.

• 스팸 (Spam)
  • 정의: 불특정 다수에게 광고를 목적으로 전달되는 이메일, 전화 또는 문자를 통칭한다.

 

얼마나 심각한가

Global Anti-Scam Alliance(GASA)가 발행한 Global State of Scams Report 2023 보고서 내용에 따르면, 전 세계 인구의 59%가 한 달에 한 번 이상 스캠에 노출되고 있으며, 78% 이상은 지난 한 해 동안 스캠 피해를 입은 경험이 있다. 스캠으로 인한 전 세계 총 금전 손실 금액은 1조 260억 달러(한화 1,370조원)이다. 불법적이고 비윤리적인 사기 범죄 금액이 전 세계 GDP의 1%가 넘는 상황이다. 금전 손실 규모는 국가마다 편차가 크며 특히 케냐, 베트남, 브라질, 태국 등 개발도상국 손실이 크다.^[3] 이런 심각성은 미국 연방거래위원회(FTC, Federal Trade Commission)에서 소비자 신고 건수를 바탕으로 발행한 Consumer Sentinel Network 2023 보고서에서도 확인할 수 있다. 지난 20년간 사기 신고 건수가 계속 늘고 있는데 작년 한해에 약 2600만 건의 사기 신고가 있었다. 이 중 27%는 실제 금전 손실 피해를 입었고, 총 피해 금액은 100억 달러(한화 13조 원)가 넘었다.^[4] 대한민국 경찰청에서 발행한 2023년 사이버범죄 트렌드 보고서에서는 2022년에 발생한 온라인 사이버 범죄 사기가 전년 대비 10% 이상 증가하였다.^[5] 한국인터넷진흥원에서 2023년 한해 동안 확인한 모바일 스미싱 문자는 50만건이 넘는다.^[6] 국가정보원에서 확인한 2023년 로맨스 스캠 신고건은 2020년 대비 3배가 늘었으며 피해 금액은 50억에 가깝다.^[7] 미신고 건수까지 고려하면 그 피해규모는 더 클 것으로 추정된다. 안랩 V3 Mobile Security 제품에서 스캠으로 판단한 휴대전화 문자는 2024년 1월 한달에만 4,300건 이상이다.^[8]  

목적이 무엇인가

스캠의 목적은 세 가지이다. 돈과 정보 그리고 권한이다. 한 가지만 노릴 때도 있고, 두 개 이상을 동시에 노릴 때도 있다. 개인 대상 스캠의 대부분의 목적은 돈이다. 이때 돈은 현금과 가상자산을 모두 포함한다. 스캐머 피해자가 자발적으로 돈을 지불하거나 송금하도록 한다. 또는 무언가를 빌미로 피해자를 협박하여 강압적으로 돈을 갈취하기도 한다. 스캐머가 노리는 정보는 로그인 계정, 신용카드 정보, 인적 사항, 휴대전화 연락처, 기업 비즈니스 기밀 정보 등 지적 재산이다. 정보 수집 그 자체가 목적인 경우도 있으나, 신용카드 정보처럼 최종 목적이 돈인 것도 있고, 정보를 인질 삼아 돈을 갈취하기도 한다. 로그인 계정은 추후 악의적 행위를 하기 위한 준비물로 악용되기도 한다. 세 번째 목적은 피해자 시스템에 대한 접근 권한이다. 대표적으로 악성 파일이 있다. 예를 들어 피해자가 모바일 메신저나 이메일로 전달된 내용을 신뢰하여 파일을 자발적으로 실행했지만, 실제로는 스캐머에게 시스템 원격 제어권을 주거나 기밀 데이터를 가져가게 할 수 있다.이는 이후 돈 갈취 수단으로 악용되기도 하고, 기업 비즈니스에 악영향을 주기도 한다.

 

누가 당하는가

어린 청소년부터 노인까지 전 연령층이 다 스캠 피해자가 될 수 있다. 다만 연령에 따라 피해 정도와 특징에는 차이가 있다. Consumer Sentinel Network 2023 보고서에 따르면 젊은 연령층이 고령층보다 더 자주 금전 피해를 입는다. 이는 스캠이 주로 소셜 미디어나 온라인 웹 사이트, 모바일 앱 등 젊은 연령의 이용 빈도가 높은 채널로 접근하는 것과 연관있다. 그러나 평균 피해 금액은 고령층이 더 높다.^[9][10] 특정 성별이 타겟이 되기도 한다. 몸캠피싱(Sextortion)은 대한민국 젊은 남성을 대상으로 하는 독특한 유형의 스캠이다. 스캐머는 여성으로 위장하여 모바일 메신저로 피해자에게 접근한다. 피해자 남성과 관계를 형성하고 남성의 성적인 음란 행위 사진 또는 영상을 인질로 하여 돈을 보내도록 협박한다. 직접적인 당사자 외에도 피해자가 있다. 스캠 과정 중 사칭이 있었다면 이름, 얼굴, 브랜드가 도용당한 개인이 조직 역시 또 다른 피해자이다. 이들은 명예 훼손 뿐만 아니라 경제적 피해를 입을 수도 있다. 전 세계에서 가장 큰 온라인 쇼핑몰인 Amazon은 이러한 점을 고려해 피싱 웹사이트를 적극적으로 차단하고 조치하고 있다.^[11][12] 대한민국에서도 자주 사칭 대상이 되는 정부 기관이나 산업들이 지속적으로 주의를 권고하고 있다.

Reporting phishing emails If you have received an email that you know is a forgery, or if you think you have been a victim of a phishing attack and you are concerned about your Amazon.com account, please let us know right away by reporting a phishing or spoofed email.

Guardians of Trust: Amazon’s Proactive Frontline Against Impersonation Scams: In 2022, Amazon initiated takedowns of more than 20,000 phishing websites, 10,000 phone numbers being used as part of impersonation scams and referred hundreds of bad actors globally to local law enforcement authorities.

 

어떻게 접근하는가

스캠 범죄자는 우리가 일상생활에서 접하는 거의 모든 커뮤니케이션 채널을 이용하여 접근한다. 채널은 시간이 지남에 따라 계속해서 달라진다. 모바일 메신저 앱은 몇 년 전까지만 해도 존재하지 않았던 방식이다. QR코드로 주차비를 결제하는 것 역시 이전에는 없었다. 스캐머는 이 모든 것들을 이용하여 사람들을 속인다.

• 모바일 메신저 앱 (WhatsApp, Telegram, WeChat, Facebook Messenger, LINE, KakaoTalk 등)
• 모바일 데이팅 앱 (Tinder, MEEFF, WIPPY 등)
• 소셜 미디어 (Instagram, Facebook 등)
• 모바일 문자 메시지
• 음성 전화
• 웹사이트 (YouTube, NAVER, Google 등)
• 이메일 (Gmail, Outlook 등)
• 온라인 삽입 광고
• 오프라인 (주차장, 상점 등)
• 기타

각 나라마다 스캠에 주로 이용되는 방법은 다르다. 디지털 접근성 문화, 주 사용 플랫폼이 모두 다르기 때문이다. GASA의 Asia Scam Report 2023 보고서에 따르면 대한민국이 사람들이 가장 많이 노출된 스캠 채널은 모바일 문자 메시지(78.8%), 음성 전화(58.3%), 이메일(27.0%)이다. 일본은 이메일(54.7%), 문자 메시지(44.1%) 전화(33.9%) 순이다. 싱가포르는 전화(70.5%), 문자 메시지(65.8%), 모바일 메신저 앱(54.4%)이 주 스캠 채널이다. 디지털 플랫폼은 국가별 차이가 더 뚜렷하다. 대한민국은 Instagram(27.7), NAVER(24.0%), KakaoTalk(20.0%) 플랫폼 순으로 스캠 위협에 노출될 수 있다. Instagram이 1위인 아시아 국가는 대한민국이 유일하다. NAVER와 KakaoTalk은 다른 나라에는 순위에 들지 못했다. 대신 중국은 WeChat(56.6%), 인도네시아는 WhatsApp(74.3%), 베트남은 Facebook(71.5%)이 가장 스캠 위험이 높은 플랫폼이다.  

무엇을 유도하는가

스캐머는 목적을 달성하기 위해 여러 수단을 이용하여 상대방에게 특정 행동을 유도한다. 두 가지 이상의 행동을 유도할 수도 있다. 스캠 시나리오는 상황과 의도에 따라 얼마든지 달라질 수 있다.

1. 목적: 돈
   • 투자
   • 가입
   • 물건 구매
   • 부업 또는 취업
   • 비용 납부 또는 송금
   • 지불 대행 또는 구매 대행
   • 협박으로 인한 지불
2. 목적: 정보
   • 로그인 계정 ID/패스워드 입력
   • 금융 정보 입력
   • 기밀 사항 전달
3. 목적: 비인가 권한 획득
   • 악성 앱/파일 설치 및 실행
   • 악성 웹 페이지 접속

 

어떤 종류가 있는가

스캠은 여러 기준으로 분류할 수 있다. 같은 채널을 사용하더라도 목적과 유도 행동이 다르다. 예를 들어 모바일 문자 메시지를 이용한 스캠, 즉 스미싱을 통해 누군가는 악성 앱을 설치한다. 그리고 휴대전화 내 개인정보나 2FA(Two-Factor Authentication) 정보가 탈취된다. 또 다른 누군가는 Telegram 로그인 코드를 입력하여 로그인 세션이 탈취된다. 어떤 스미싱은 주식이나 가상자산 투자를 권유하는 웹 페이지로 접속을 유도한다. 이메일을 이용한 스캠은 단순 협박성 내용일 수도 있고, 기업 조직의 로그인 계정 탈취를 하는 피싱 웹 페이지 링크일 수도 있고, 랜섬웨어 파일이 첨부되어 있을 수도 있다. 스캠은 단일 기준으로 분류하기에는너무나 복잡하고 광범위하다. 개인 대상 스캠과 기업 비즈니스를 대상으로 삼는 스캠은 그 행동 주체(스캐머)와 시나리오가 전혀 다르다.

분류 기준

목적 대상 접근 채널 디지털 플랫폼 유도 행동 진행 기간 협박 여부 사칭 여부 표적 여부 스캐머

따라서 ‘온라인 스캠’ 시리즈에서는 스캠 유형을 하나의 기준으로 분류하지 않고 몇 가지 공통 특징이 있는 유형끼리 묶어서 설명할 예정이다.  

왜 당할 수밖에 없는가

인지 왜곡 스캐머는 주로 사회공학 기법을 이용하여 사람들의 심리적 취약성을 노린다. 이들은 사람들의 인지를 왜곡하고 다양한 방법으로 조작한다. 인지가 왜곡된 사람들은 종종 경고 신호를 무시하거나 상황을 정당화하여 스캠에 더 쉽게 빠질 수 있다. 욕심 스캐머는 사람들의 돈에 대한 욕망과 욕심을 노린다. 이들은 수억원의 차와 값비싼 물건, 그리고 조작된 계좌 입금 내역 사진을 보여준다. 그리고 확실한 큰 이익을 얻을 수 있다는 유혹의 말을 한다. 집에서 아주 손 쉽게 돈을 벌 수 있는 부업이라는 말에 많은 사람들이 스캠에 당한다. 신뢰 형성 스캐머는 사람의 신뢰를 얻기 위해 다양한 심리적 관계 형성 기술을 사용한다. 며칠 이상 대화를 하여 신뢰 관계를 쌓기도 하고, 작은 신뢰를 반복적으로 쌓기도 한다. 사람들은 어느 정도 신뢰가 쌓인 이후에는 의심하지 않고 돈을 송금하거나 개인정보를 제공한다. 심리적 압박 스캐머는 종종 사람들에게 긴급한 상황이나 급한 조치가 필요하다는 압박감을 준다. 이런 상황에서 피해자들은 판단력을 상실하고 스캐머가 요구하는 조건을 듣게 된다. 기술적 발전 스캐머들은 기술적인 트릭을 이용한다. 진짜와 매우 흡사한 화면과 문구를 만든다. 이메일 발신자 주소를 바꾸는 것들도 여기에 해당된다. 스캐머 본인이 직접 하지 않고 다크웹 등 불법적인 거래 시장에서 만들어진 제작도구를 이용하거나 의뢰하기도 한다. 최근 손쉽게 사용가능한 외국어 번역 도구들을 이용하여 해외 스캐머는 자연스러운 피싱 문구를 만들 수도 있다. 정보 부족 그리고 이 모든 기저에는 사람들의 정보 부족이 있다. 사람들은 스캠의 다양한 최신 수법을 잘 모른다. 바쁜 일상 때문에 이를 매번 의심하거나 확인하지 못하기도 한다. 별 생각 없이 정보를 입력하거나 파일을 실행하는 행위도 모두 스캐머가 의도한 것이다. 국가 정부 기관과 산업계에서는 이에 대항하기 위해 자동화된 스캠 필터와 차단 장치, 범죄자 검거, 보안 제품 등 많은 노력을 하고 있지만 안타깝게도 우리는 스캠에 당할 확률이 높다. 개인과 조직은 우리 일상 속 다양한 스캠 수법을 알 필요가 있다.  

참고 자료

• Global Anti-Scam Alliance (GASA)
  • Research
  • Global State of Scams Report 2023
  • Asia Scam Report 2023
• 대한민국 경찰청
  • 2023년 사이버범죄 트렌드
• 대한민국 금융감독원
  • 2022년 보이스피싱 피해현황 및 주요 특징
  • 보도자료
• 대한민국 한국인터넷진흥원 (KISA) KrCERT/CC
  • 보안공지
  • 보도자료
• 미국 연방거래위원회 (FTC, Federal Trade Commission)
  • Data Spotlight
  • Consumer Sentinel Network 2023
  • Consumer Advice Scams

 

관련 글 보기

1. 온라인 스캠: 당신은 사칭과 협박, 그리고 속임수로부터 안전하십니까?
2. 온라인 스캠: 스캠이란 무엇인가?
3. 온라인 스캠: 내 휴대전화에서 마주한 사기
4. 온라인 스캠: 협박과 농간 그리고 피해자
5. 온라인 스캠: 그저 쉽고 빠르게 돈을 벌고 싶었다
6. 온라인 스캠: 이게 가짜였다고? 진짜와 가짜를 구분하기
7. 온라인 스캠: 그 누구라도 피해가기 어려운 스캠
8. 온라인 스캠: 그래서 우리는 무엇을 어떻게 해야할까?