마이크로소프트가 지난해 4월부터 현재까지 지난 1년 간 약 40억달러 규모의 온라인 사기 시도를 차단하고, 시간 당 약 160만건의 자동화 봇 기반 계정 생성 시도를 막은 것으로 나타났다. AI로 웹 상에서 각종 정보를 모아 가짜 브랜드 쇼핑몰을 뚝딱 만들고, 가짜 채용 공고를 구인구직 플랫폼에 올려 정보를 빼돌리거나, 소프트웨어의 가짜 오류를 IT 기업에 신고해 기술지원을 요청하면서 기밀 정보를 빼내는 등 AI를 활용한 사기 수법이 갈수록 진화하고 있다. 마이크로소프트는 AI를 이용한 사기 수법이 진화하고 급증하고 있다며 개인과 기업의 적절한 대응을 조언했다.
마이크로소프트는 16일(현지시간) 공개한 ‘AI 기반 사기 수법: 진화하는 위협과 대응 전략(AI-Driven Deception: Emerging Fraud Threats and Countermeasures’ 사이버 시그널 보고서에서 애저 상의 사칭 계정 차단, 엣지 브라우저의 사기 방지 기능, 윈도우 퀵 어시스트의 기술 지원 사기 대응 등 현재 진행 중인 주요 보안 조치와 성과를 밝혔다.
보고서에 의하면, 마이크로소프트는 2024년 4월부터 2025년 4월까지 1년 동안 40억달러 규모의 AI 기반 사기 시도를 차단했고, 4만9000 건의 허위 파트너 등록 요청을 거부했으며, 시간당 약 160만건에 달하는 자동화된 프로그램(봇) 이용한 계정 생성 시도를 차단했다.
마이크로소프트는 AI를 활용한 사이버 범죄자의 공격 시도가 폭발적으로 증가하고 있으며, AI 도구의 발전으로 사이버 공격의 기술적 진입 장벽이 낮아졌다고 경고했다. 사이버 범죄자는 현실감 있게 위장된 공격 메시지나 콘텐츠를 더 빠르고 적은 비용으로 만들어낼 수 있게 됐다. 사이버 공격의 속도와 정밀도도 지속적으로 높아지고 있다.
실제로 범죄에 사용되는 AI 도구는 매우 다양하며, 정상적인 애플리케이션을 악의적으로 활용하는 사례부터 사기 목적에 특화된 AI 도구를 지하세계에서 사용하는 경우까지 폭넓게 나타나고 있다. AI 기반 도구는 웹상에서 기업 정보를 수집·분석해 특정 직원이나 주요 인물의 상세한 프로필을 자동으로 생성할 수 있다. 공격자는 이를 활용해 상당히 신빙성 있는 소셜 엔지니어링 공격을 설계한다.
예를 들어, 허위 리뷰나 가짜 쇼핑몰을 생성하고, 기업 연혁과 고객 후기를 조작해 실제 브랜드처럼 꾸미는 방식이 사용된다. 이러한 위장 수법은 피해자를 더욱 교묘하게 사기 시나리오에 끌어들이는 데 활용된다. 여기에 딥페이크 영상, 음성 합성, 피싱 이메일, 정교하게 위조된 웹사이트 등이 동원되며, 공격자는 합법적인 기업처럼 보이기 위한 사기 전략을 폭넓게 펼치고 있다.
마이크로소프트 사기 방지팀에 따르면, AI 기반 사기 공격은 전 세계적으로 발생하며, 특히 중국과 유럽, 그 중에서도 독일에서 활발한 활동이 감지되고 있다. 독일이 유럽연합(EU) 내 최대 전자상거래 및 온라인 서비스 시장 중 하나라는 점과 관련된다. 일반적으로 디지털 시장이 클수록 사기 시도도 그만큼 많아지는 경향을 보인다.
전자상거래 사기 증가
AI를 비롯한 다양한 도구를 활용하면 최소한의 기술 지식으로도 단 몇 분만에 사기성 전자상거래 웹사이트를 구축할 수 있다. 과거에 수주일씩 걸리던 그럴 듯한 웹사이트 제작은 훨씬 더 쉽워지고 빨라졌다. 사기성 웹사이트는 종종 정식 사이트를 정교하게 모방해, 소비자가 이를 가짜로 인식하기 어렵게 만든다. AI로 생성된 제품 설명, 이미지, 고객 리뷰를 활용해 사용자에게 실제 판매자와 거래하고 있다는 인상을 주며, 익숙한 브랜드에 대한 신뢰를 악용하는 수법이다.
AI 기반 고객 응대 챗봇은 사기 수법을 더욱 정교하게 만드는 역할을 한다. 이 봇들은 고객에게 대본에 따른 변명으로 시간을 끌고, AI로 생성된 응답으로 불만을 조작해 사기 사이트를 전문적으로 보이게 만들어 환불을 지연시킬 수 있다.
이에 대응해 마이크로소프트는 AI 기반 사기 위협으로부터 고객을 보호하기 위해, 자사 제품과 서비스 전반에 걸쳐 다각적인 보안 체계를 구축하고 있다. 마이크로소프트 디펜더 포 클라우드는 애저 환경 전반에서 종합적인 위협 보호 기능을 제공하며, 가상 머신, 컨테이너 이미지, 엔드포인트에 대한 취약점 평가 및 위협 탐지 기능을 포함한다.
마이크로소프트 엣지 브라우저는 딥러닝 기술을 기반으로 사이트 주소 입력 시 발생할 수 있는 철자 오류를 악용한 사기성 도메인 접속과, 도메인 사칭 시도를 탐지·차단하는 기능을 제공해 사용자를 보호한다. 머신러닝 기반 스케어웨어 차단(Scareware blocker) 기능도 탑재해 ‘컴퓨터가 손상되었습니다’ 같은 허위 경고를 띄우는 팝업창이나 사용자를 속이기 위한 사기성 페이지를 자동으로 식별하고 차단한다. 이러한 공격은 사용자에게 공포심을 유발해 허위 전화번호로 전화를 걸게 하거나, 악성 소프트웨어를 다운로드하도록 유도한다.
구직 및 채용 관련 사기도 급증
다양한 구직 플랫폼에 가짜 채용 공고를 올려 구직자의 개인정보를 탈취하는 시도도 늘어나고 있다.
생성형 AI 기술의 빠른 발전으로 인해 공격자는 다양한 구직 플랫폼에 가짜 채용 공고를 훨씬 쉽게 등록할 수 있게 됐다. 이들은 도용한 정보로 가짜 인사담당자 프로필을 만들고, AI로 생성한 채용 설명과 자동화된 이메일 캠페인을 활용해 구직자를 노린다. 여기에 AI 기반 인터뷰 응답 시스템과 자동 이메일까지 더해지면서, 사기성 채용 공고가 실제 제안처럼 보이게 되어 구직자들이 이를 식별하기 점점 더 어려워지고 있다.
마이크로소프트는 “이러한 사기를 예방하려면, 구직 플랫폼은 기업 계정에 다단계 인증(MFA)을 적용하고, 정상 계정이 탈취돼 악용되는 상황을 방지할 수 있는 보안 체계를 마련해야 하며, 사기 탐지 기술을 통해 의심스러운 콘텐츠를 식별해야 한다”고 조언했다.
공격자는 종종 지원자 정보를 확인한다는 명목으로 이력서, 은행 계좌 정보 등의 개인정보를 요구한다. 지원한 적 없는 기업에서 최소한의 자격 요건으로 고액 연봉을 제시하는 문자나 이메일을 수신했다면, 이는 전형적인 사기의 징후로 볼 수 있다.
채용 과정에서 금전을 요구하거나, 비정상적으로 좋은 조건을 제시하는 경우, 문자를 통해 채용 또는 면접을 제안하거나, 공식 플랫폼이 아닌 경로로 소통이 이뤄지는 경우는 모두 사기 시도의 징후일 수 있다.
기술 지원 사기(Tech Support Scams)도 등장
기술 지원 사기란, 존재하지 않는 소프트웨어나 디바이스 오류가 있는 것처럼 속여 피해자에게 불필요한 기술 지원을 받게 만드는 사기 수법이다.
AI가 직접적으로 개입하지 않더라도, 이러한 유형의 공격은 고위험 사기 수단으로 분류된다. 예를 들어, 2024년 4월 중순 마이크로소프트 위협 인텔리전스는 금전 탈취 및 랜섬웨어 유포를 목적으로 활동하는 사이버 범죄 그룹 Storm-1811이 마이크로소프트 퀵어시스트를 악용해 IT 지원 직원을 사칭한 사례를 확인했다. 이 공격에는 AI 기술이 사용되지 않았으며, Storm-1811은 보이스 피싱(vishing)을 소셜 엔지니어링 기법의 일환으로 활용해 합법적인 조직을 사칭함으로써 피해자가 디바이스액세스 권한을 넘기도록 유도했다.
이와 함께 작년 5월 마이크로소프트 위협 인텔리전스는 Storm-1811이 마이크로소프트 팀즈를 통해 타깃 사용자를 대상으로 보이스 피싱 공격을 시도한 정황도 확인했다.
마이크로소프트는 Storm-1811을 비롯한 위협 그룹의 공격 차단을 위해, 비정상적인 행위와 연관된 계정 및 테넌트를 식별해 정지 조치를 취했다. 요청한 적 없는기술 지원 제안은 사기일 가능성이 높으며, 기술 지원이 필요한 경우엔 반드시 신뢰할 수 있는 공식 채널을 통해 문의해야 한다고 마이크로소프트측은 강조했다. 마이크로소프트 사칭 시 스캠 보고 웹페이지로 신고하라고 안내했다.
공격자들은 다양한 도구와 기법으로 웹을 스캔해 기업 정보를 연구하고, 직원에 대한 상세한 프로필을 만들어낸 뒤 신빙성 있는 소셜 엔지니어링 기법을 이메일, 문자, 기타 채널에 적용해 신뢰를 유도한다.
이후 공격자는 피해자의 컴퓨터에 원격으로 접근하게 되며, 이를 통해 해당 기기에 저장된 모든 정보는 물론, 연결된 네트워크 상의 데이터에 접근하거나, 악성코드를 설치해 컴퓨터와 민감한 정보에 대한 지속적인 접근 권한을 확보할 수 있다.
마이크로소프트 퀵 어시스트와 마이크로소프트는 이러한 공격 시나리오에 당하지 않았다. 하지만 마이크로소프트는 합법적인 소프트웨어를 악용함으로써 발생하는 위협에 대응하는 데 집중하고 있다고 밝혔다. 마이크로소프트 사기 방지 및 제품 팀은 진화하는 공격 기법에 대한 이해를 바탕으로 긴밀히 협력해 사용자를 위한 투명성을 개선하고 사기 탐지 기법을 향상시키고 있다고 강조했다.
마이크로소프트는 시큐어 퓨처 이니셔티브 (Secure Future Initiative, SFI) 전략을 기반으로, 모든 제품과 서비스가 초기 단계부터 사기 방지 기능을 갖추도록 설계하는 ‘사기 대응력 내재화(Fraud-resistant by Design)’ 접근 방식을 강화하고 있다. 올해 1월부터 모든 제품 팀이 설계 프로세스에서 사기 방지 평가를 수행하고, 관련 통제 수단을 구현하도록 하는 새로운 정책을 도입했다.
마이크로소프트의 권장사항
마이크로소프트는 각종 사이버 공격 시도에 대응하기 위해 기업의 경우 계정 인증을 강화하고, AI 기반 채용 사기 모니터링을 도입하라고 권장했다. 개인의 경우 지나치게 매력적인 웹사이트와 채용 공고에 유의하고, 검증되지 않은 출처에 개인정보 및 결제 정보 제공을 자제하라고 조언했다.
사기범은 실제 기업 계정을 탈취하거나, 존재하지 않는 인사담당자를 사칭해 구직자를 속이기도 한다. 이를 방지하기 위해, 플랫폼은 다단계 인증(MFA)과 마이크로소프트 엔트라ID 기반의 신원 확인 절차를 도입해 불법적인 사용자가 구인 계정의 권한을 가져갈가능성을 최소화해야 한다. 기업은 딥페이크 감지 알고리즘을 도입해, 표정이나 음성 패턴이 자연스럽지 않은 AI 생성 인터뷰를 식별할 수 있는 AI 기반 채용 사기 모니터링을 실시해야 한다.
개인 사용자는 웹사이트의 ‘https’ 보안 연결 여부를 확인하고, 마이크로소프트 엣지의 오타 방지 기능 등 도구를 활용해 사이트의 신뢰성을 확인해야 한다. 채용 공고에서 금전 요구, 문자, 메신저, 기업용 아닌 G메일 계정 등 비공식 플랫폼을 통한 연락, 혹은 누군가의 개인용 디바이스로 연락을 달라는 요청이 있을 경우 사기 징후일 수 있으므로 주의가 필요하다.
소비자 보호를 위한 팁
사기범들은 긴박함, 희소성, 그리고 사회적 증거에 대한 신뢰와 같은 심리적 요인들을 교묘하게 악용한다. 마이크로소프트는 ▲충동 구매 유도 ▲허위 사회적 증거 조작 ▲검증 없는 광고 클릭 ▲검증되지 않은 결제 수단 등에 주의해야 한다고 강조했다.
사기범은 ‘한정 시간 할인’, 카운트다운 타이머 등을 활용해 소비자에게 긴박감을 조성함으로써 충동 구매를 유도한다. AI를 활용해 가짜 리뷰, 인플루언서 추천, 사용자 후기를 생성하고, 이를 통해 신뢰할 수 있는 브랜드처럼 위장하고 있다. 많은 사기 사이트는 AI로 최적화된 소셜 미디어 광고를 통해 확산되며, 구매 전 도메인 주소와 사용자 리뷰를 교차 확인해야 한다. 사기 방지 보호 장치가 없는 계좌이체나 암호화폐 결제는 피해 복구가 어려우므로 피해야 한다.
구직자는 채용 사기를 예방하기 위해, 고용주가 합법적인지 확인하고, 대표적인 사기 징후에 주의하며, 검증되지 않은 고용주에게는 개인정보나 금융 정보를 제공하지 않아야 한다.
링크드인, 글래스도어 같은 구직 플랫폼과 공식 웹사이트 등을 통해 기업 정보를 교차 검증해야 한다.
교육비, 자격증 취득비, 신원 조회 비용 등을 선납 요구하는 채용 공고는 사기일 가능성이 높다. 경력을 요구하지 않는 원격 근무나 비현실적으로 높은 급여, 기업용 이메일 도메인 대신 무료 이메일 도메인을 사용하는 채용 담당자 역시 사기 가능성의 신호로 간주해야 한다.
영상 인터뷰가 자연스럽지 않거나, 입 모양과 음성이 어긋나거나, 표정이 어색하거나 기계적인 목소리가 들리는 경우, 딥페이크 기술이 사용됐을 가능성이 있다. 추가 논의를 진행하기 전에 채용 담당자의 신원을 회사의 공식 웹사이트를 통해 확인해야 한다. 신원 확인되지 않은 고용주에게 주민등록번호, 계좌 정보, 비밀번호 등의 민감한 정보는 절대 제공해서는 안 된다.
마이크로소프트는 정부, 법 집행기관, 소비자 보호 단체, 금융당국 및 금융 서비스 제공자, 브랜드 보호 기관, 소셜 미디어 및 인터넷 서비스 제공업체, 사이버보안 기업 등과 협력해 지식을 공유하고 소비자를 사기로부터 보호하는 것을 목표로 하는 글로벌사기방지연합(Global Anti-Scam Alliance, GASA)의 회원으로 활동중이다.
마이크로소프트의 사기 대응 솔루션
마이크로소프트는 AI와 머신러닝 등 첨단 기술을 기반으로 한 대규모 탐지 모델을 지속적으로 고도화해, 사기 시도를 감지하고 대응하는 방어 체계를 강화하고 있다. 마이크로소프트는 사용자에게 악성 활동 가능성을 경고하는 보안 제어 기능을 제품에 도입하고, 새로운 유형의 공격을 빠르게 탐지하고 차단할 수 있는 대응 체계를 구축했다.
마이크로소프트 사기 방지 팀은 도메인이 생성되는 초기 단계부터 딥러닝 기술을 적용한 도메인 사기 보호 기능을 통해 사기성 전자상거래 사이트나 허위 채용 공고 차단을 지원한다. 마이크로소프트 엣지는 웹사이트 오타 보호 기능이 적용돼 있으며, 링크드인 플랫폼은 AI 기반 허위 채용공고 탐지 시스템을 구축했다.
마이크로소프트 엣지는 ‘스케어웨어 차단기(Scareware Blocker)’로 불리는 ‘ScamSLMer’란 핵심 방어 기능을 제공한다. 이 기능은 전체 화면 모드에서 브라우저 인터페이스를 숨기고, 가짜 경고 메시지를 띄워 사용자를 현혹하는 의심스러운 페이지를 차단한다. 신고된 악성 사이트는 AI 시스템과 전문가 검토를 거쳐 신속하게 분석된다. 검토 결과에 따라 해당 사이트는 차단 조치돼, 향후 유사한 피해를 예방하는 데 활용된다
마이크로소프트 디펜더 스마트스크린은 웹사이트, 파일, 애플리케이션의 평판 정보와 행위 기반 분석을 활용해, 피싱 사이트 접속이나 악성 콘텐츠 다운로드와 같은 위험 요소를 사전에 차단하는 클라우드 기반 보안 기능이다. 이 기능은 윈도우 운영체제와 마이크로소프트 엣지 브라우저에 기본적으로 통합되며, 사용자를 피싱 공격, 악성 웹사이트, 위험한 다운로드로부터 보호한다.
마이크로소프트의 디지털범죄유닛은 민간 및 공공 부문과 협력해, 범죄자들이 사이버 기반 사기를 조장하는 데 사용하는 악성 인프라를 추적 및 해체하고 있다. 이 팀은 전 세계 법집행기관과의 장기적인 협업을 통해 기술 지원 사기 대응에 기여해 왔으며, 현재까지 수백 건의 체포와 실형 판결 등 실질적인 법적 조치를 이끌어냈다. DCU는 이러한 대응 경험을 바탕으로, 생성형 AI 기술을 악용하려는 시도에 대해서도 선제적으로 대응하고 있다.
기술 지원 사기를 방지하기 위해, 마이크로소프트는 사용자에게 접근하는 사람이 승인된 IT 부서 또는 기타 지원팀의 일원이라고 주장하기 전에 사용자에게 기술 지원 사기 가능성에 대해 경고하는 메시지를 전송하는 기능을 퀵 어시스트에 도입했다. 윈도우 사용자는 장치에 원격 액세스를 허용하는 보안 위험에 대해 반드시 읽고 인지한 이후 확인란을 클릭해야 한다.
마이크로소프트는 보안 신호(Security Signal)를 기반으로, 윈도우용 퀵 어시스트의 보안 기능을 한층 강화했다. 기술 지원 사기 및 기타 위협에 대응하기 위해 하루 평균 4415건의 의심스러운 퀵 어시스트 연결 시도를 차단하고 있으며, 이는 전 세계 전체 연결 시도의 약 5.46%에 해당한다. 이러한 차단은 악의적인 행위자와의 연관성 또는 검증되지 않은 연결과 같은 의심스러운 속성을 보이는 연결을 대상으로 한다.
마이크로소프트는 퀵 어시스트의 보안을 지속적으로 고도화했다. 과거 무작위 개인을 노리던 공격자들이 최근에 조직적인 사이버 범죄 캠페인을 통해 기업을 직접 겨냥하는 양상으로 변화한 데 따른 대응 조치다. 이 보안 체계의 핵심은 AI 및 머신러닝 기반의 디지털 지문 인식 기술이다. 이 기술은 다양한 보안 신호를 수집·분석해 사기 및 위협 징후를 탐지하고, 의심 행위 가능성이 확인되면 퀵 어시스트 세션을 자동 종료한다. 디지털 지문 인식은 의심스러운 사용자 행동을 식별하고 분석함으로써, 무단 접근 시도를 사전에 탐지하고 차단한다.
기업 환경에서는 원격 지원(Remote Help)이 기술 지원 사기에 대응하는 데 유용한 리소스로 활용된다. 이 기능은 조직 내부 지원을 목적으로 설계됐으며, 기업 환경에 적합한 고도화된 보안 기능을 기본적으로 갖추고 있다.
켈리 비셀 마이크로소프트 시큐리티 사기방지 및 제품악용 총괄부사장(CVP)은 “사이버범죄는 이미 수조 달러 규모의 문제로, 지난 30년 동안 지속적으로 증가해 왔다”며 “오늘날 우리에게는 AI를 더 빠르게 도입해 노출 격차를 빠르게 감지하고 해소할 수 있는 기회가 있다”고 밝혔다.
켈리 비셸 부사장은 “이제 우리는 대규모 변화가 가능한 AI를 보유하고 있으며, 이를 통해 제품에 보안 및 사기 방지 기능을 훨씬 더 빠르게 구축할 수 있다”며 “마이크로소프트만 보호하는 것으로는 충분하지 않으며, 애플은 애플대로 구글은 구글대로 대응하더라도 함께 협력하지 않는다면 우리 모두 더 큰 기회를 놓치게 된다”고 강조했다.
그는 “사이버 범죄 정보를 서로 공유하고, 대중을 교육해야 한다”며 “기술 기업들이 보안과 사기 방지 기능을 제품에 내장하고, 공공 인식을 높이며, 법 집행기관과 사이버 범죄자 정보를 공유하는 이 ‘3가지 축’이 함께 작동한다면, 우리는 매우 큰 변화를 이끌어낼 수 있을 것”이라고 덧붙였다.
해당 보고서는 마이크로소프트의 다양한 플랫폼 및 서비스에서 수집된 익명화된 위협 행위자 활동 및 트렌드 데이터를 기반으로 한다. 주요 데이터 출처는 마이크로소프트 애저, 디펜더, 오피스용 디펜더, 위협 인텔리전스, 디지털범죄유닛(DCU) 등을 포함하며, 마이크로소프트 엔트라ID는 악성 이메일 계정, 피싱 메일, 네트워크 내 침입 활동 등과 관련된 익명 위협 데이터를 제공했다. 이밖에 마이크로소프트 클라우드, 엔드포인트, 인텔리전트 엣지, 마이크로소프트 플랫폼과 서비스의 텔레메트리 등 다양한 환경에서 수집된 보안 시그널이 주요 인사이트로 활용됐다. 40억달러란 수치는 최근 12개월 동안 마이크로소프트와 자사 고객(소비자 및 기업 대상)을 겨냥한 사기 시도 전체 규모를 합산한 금액이다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network
![[긴급] 소닉월 SMA100 장비의 심각한 보안취약점...실제 사이버공격에 악용중](https://www.dailysecu.com/news/photo/202504/165420_193801_4744.jpg)
![[북스&]CIA도 투자한 '제2 테슬라'…팔란티어 혁신 전략을 보다](https://newsimg.sedaily.com/2025/04/18/2GRKJPW2RZ_1.jpg)
