[최홍규 칼럼: 당신의 부모는 AI 세상에 안녕하십니까? 3회]
알고도 당한다: AI 시대 사기의 민낯
그는 바보가 아니었다
디지털 사기 피해자라고 하면 흔히 이런 이미지를 떠올린다. 스마트폰에 익숙하지 않고, 의심할 줄 모르고, 경고를 읽지 않은 사람. 그런데 실제 피해자들은 그렇지 않은 경우가 훨씬 많다.
영국 금융옴부즈만 서비스(Financial Ombudsman Service, 이하 FOS)가 2024년에 공개한 실제 사건(결정문 DRN-5182102)의 피해자 Mr B가 그랬다.
( 참조 : www.financial-ombudsman.org.uk/decision/DRN-5182102.pdf )
그는 ‘아무것도 모르는’ 사람은 아니었다. 투자 회사 이름을 인터넷에서 찾아보고 다른 사람들의 후기까지 살펴본 뒤, 자신이 이용한 암호화폐 거래업체들도 나름대로 확인해 합법적인 곳이라고 믿었다. 송금 버튼을 누르기 직전에는 화면에 이런 경고창까지 떴다. “이 이체를 진행하면, 가장 가능성 높은 결과는 당신이 이 돈을 영구적으로 잃게 되는 것입니다.” 그는 그 문장을 읽었다. 그리고 확인 버튼을 눌렀다. 사기범이 그의 이름으로 신청한 대출금 3만 9,500파운드(한화 약 7천9백만 원)가 그렇게 흘러 들어갔다.
이 사건이 불편한 이유는 피해자가 ‘몰라서’만 당한 것이 아니기 때문이다. 정보도 있었고, 경고도 있었다. 그래도 막지 못했다. 우리가 지금까지 믿어온 전제, ‘알면 막을 수 있다’는 생각이 흔들린다.
1
사기꾼은 정보가 아니라 관계를 먼저 빼앗는다
그렇다면 Mr B는 왜 경고를 읽고도 버튼을 눌렀을까. FOS 결정문을 읽어보면 실마리가 보인다. Mr B에게 사기꾼은 어느 날 갑자기 나타난 낯선 번호가 아니었다. 일정 기간 정기적으로 연락을 주고받으며, 점점 ‘이 사람은 나를 도와주는 브로커’이자 친구 같은 존재로 자리 잡은 상대였다. 경고창이 뜨던 바로 그 순간에도, 그의 머릿속에는 화면 속 문장보다 그 친구의 말이 더 크게 울리고 있었을 것이다. “이건 정상적인 거래야. 걱정하지 마.” 정보는 있었지만, 이미 형성된 신뢰와 감정이 그 정보를 이겨버렸다.
2025년 6월, 학술지 「시큐리티 저널(Security Journal)」에 발표된 뉴욕 존제이 형사사법대학(John Jay College of Criminal Justice) 로런 샤피로(Lauren R. Shapiro) 교수의 논문은 이 수법이 얼마나 치밀하게 설계되는지 보여준다.
(참조 : link.springer.com/article/10.1057/s41284-025-00483-3 )
샤피로에 따르면 사이버 기반 사칭 사기는 대체로 네 단계로 전개된다. 먼저 범죄자는 온라인 검색과 데이터 브로커 등을 통해 목표의 정보를 모으고(research), 다음으로 이메일·메신저·전화 등을 이용해 연락을 시작해 호감과 신뢰를 쌓는다(hook). 그런 다음 긴급한 상황이나 위기라는 허구의 이야기(pretext)를 내세워 돈과 민감한 정보를 요구하는 단계에 들어가며(exploit and execute), 마지막에는 돈을 받아낸 뒤 관계를 끊고 사라진다(exit). 이때까지 피해자는 이미 가족·연인·신뢰하는 기업과의 관계라는 설정에 강하게 몰입해 있어, 자기가 돕고 있다고 믿는 상대가 실제로는 사기범이라는 가능성을 거의 검토하지 않는다.
샤피로는 고령 피해자들이 이런 국면에서 충분한 정보 수집과 대안 비교를 거치는 대신, ‘가까운 사람이 곤경에 처했다면 도와야 한다’는 사회적 의무감과 익숙한 관계에 대한 신뢰 같은 휴리스틱에 의존해 빠르게 결정을 내린다고 지적한다. 피로·불안·공포처럼 생리적·정서적 각성이 높을수록 논리적 평가와 위험 판단을 담당하는 기능은 약해지고, 그 결과 은행·정부 기관의 경고나 주변 가족의 조언 같은 외부 신호도 제대로 처리되지 않는다. 많은 사람이 사기 경고 문구를 접하고도, 심지어 어느 정도 의심을 품으면서도 끝내 송금·정보 제공을 하게 되는 이유를, 샤피로는 이러한 휴리스틱·감정·인지적 취약성이 결합한 의사결정 과정에서 찾는다.
1
침묵이 두 번째 사기를 부른다
피해를 입은 뒤에도 문제는 끝나지 않는다. 2025년 6월, 미국 사이버보안 기업 말웨어바이츠(Malwarebytes)가 미국·영국·독일 등 5개국 1,300명을 조사한 보고서 「탭, 스와이프, 스캠: 일상적 모바일 습관이 실제 위험을 초래하는 방식(Tap, Swipe, Scam: How everyday mobile habits carry real risk)」에 따르면, 모바일 사기 피해자 가운데 경찰이나 관련 기관에 신고한 사람은 17%에 불과했다.
( 참조 : www.malwarebytes.com/blog/scams/2025/06/44-of-people-encounter-a-mobile-scam-every-single-day-malwarebytes-finds )
열 명 중 여덟 명은 조용히 혼자 감당한다.
왜 신고하지 않을까. 창피해서다. ‘이런 것에 속다니, 나는 왜 이렇게 어리석었나’라는 자책이 입을 막는다. 바로 이 침묵이 두 번째 피해를 부른다. 신고되지 않은 피해 정보는 범죄자들 사이에 공유되고, 한 번 당한 사람은 또 다른 사기의 표적이 된다. 같은 보고서에서 사기 피해자의 75%가 심각한 심리적 충격을 받았고, 절반 가까이는 불안·우울 같은 정신건강 문제로까지 이어졌다고 답했다. 돈만 잃는 것이 아니다. 자존감과 안도감을 함께 잃는다.
1
경고창보다 강한 것: 멈추는 문화
지금까지 우리 사회가 해온 대응 방식을 돌아보면, 거의 전부가 ‘알리기’에 집중되어 있었다. 뉴스로, 캠페인으로, 팝업창으로. 그런데 Mr B는 그 모든 것을 갖추고도 당했다. 문제는 정보의 양이 아니었다. 감정이 격해진 순간, 판단이 멈추는 그 찰나를 아무도 붙잡아주지 않았다는 것이다. 사기는 정확히 그 찰나만을 노린다. 정보가 아무리 많아도, 그 순간에 작동하지 않으면 소용없다.
결국 필요한 것은 더 많은 경고가 아니라, 감정이 이성을 앞지르는 바로 그 순간에도 자동으로 작동하는 구조다. 의지나 다짐으로는 한계가 있다. 사람에게 ‘조심하라’고 반복하는 대신, 조심하지 않아도 멈추게 되는 환경을 만들어야 한다.
이 점에서 말웨어바이츠 보고서가 주목한 독일·오스트리아·스위스(DACH) 지역의 사례는 시사하는 바가 크다. 이 지역은 미국·영국에 비해 모바일 사기 노출 빈도가 낮고, 피해를 당한 뒤 당국에 신고하는 비율은 오히려 높다. 보고서는 그 배경으로 더 강한 규제와 집행, 그리고 규범화된 디지털 이용 문화가 결합한 환경을 지적한다. 더 많은 경고 문구를 띄우는 대신, 의심스러운 상황에서는 한 번 더 멈추고 확인하는 태도가 자리 잡은 것이다. 이는 개인의 경계심만이 아니라 제도와 교육, 사회적 규범이 함께 모바일 이용의 ‘속도’를 조절하는 구조로 볼 수 있다.
1
가족의 말보다 먼저, 계좌에 담장을 쳐라
방법은 생각보다 간단하다. 부모님과 함께 은행 앱을 열어 계좌의 1일 이체 한도를 낮게 설정해두는 것이다. 예를 들어 하루 30만 원. 아무리 사기꾼의 말에 설득당하더라도, 수백만 원을 한 번에 보내는 것이 물리적으로 불가능해진다. 감정이 이성을 이기는 그 순간, 시스템이 대신 멈춰주는 것이다. 평소 큰돈을 보낼 일이 생기면 한도를 잠시 올리면 된다. 바로 그 ‘잠시 올리는 시간’ 자체가 한 번 더 생각할 여유가 된다.
부모님의 판단력이나 의지력에 기대는 것이 아니라, 계좌 구조 자체를 방어선으로 바꾸는 것. 사기꾼이 공들여 설계한 감정의 함정을, 은행 앱 설정 하나로 무력화하는 것이다. 이 발상의 핵심은 사람을 바꾸려 하지 않는다는 데 있다. 부모님이 더 똑똑해지거나 더 의심스러워지길 기다리는 것이 아니라, 지금 이 순간의 부모님을 그대로 지키는 구조를 만드는 것이다.
거창한 디지털 교육이 아니어도 된다. 오늘 부모님과 함께 은행 앱을 열어 이체 한도를 바꾸는 것, 그것이 AI 시대에 자녀가 드릴 수 있는 가장 현실적인 안부다.
