AI 악용 사이버 범죄 조직, 구글로부터 피소: 1조 원대 사기극의 전말

상상해보셨나요? 단 2주 만에 250만 건의 사기 문자 메시지가 발송되고, 5만 5천 건 이상의 스팸 문자가 안드로이드 사용자들에 의해 신고되는 상황을 말입니다. 이는 1분에 두 건이 넘는 스팸 신고가 접수되는 충격적인 숫자입니다. 그리고 이런 대규모 사기 캠페인의 배후에는 다름 아닌 **인공지능(AI)**이 있었습니다. 최근 구글이 중국에 기반을 둔 사이버 범죄 조직 ‘아웃사이더 엔터프라이즈(Outsider Enterprise)‘를 고소하며 이들의 경악스러운 실체가 드러났습니다. AI를 악용해 수십만 명의 피해자에게 막대한 금전적 손실을 입히고, 심지어 **약 1조 9천억 원(1.9B 달러)**에 달하는 신용카드 및 금융 정보까지 탈취한 것으로 알려진 이 사건은 우리에게 디지털 보안의 새로운 위협에 대해 경고하고 있습니다.

AI가 낳은 그림자: ‘아웃사이더 엔터프라이즈’의 민낯

구글이 밝힌 ‘아웃사이더 엔터프라이즈’는 단순한 피싱 조직이 아닙니다. 그들은 AI를 적극적으로 활용하여 구글을 비롯한 다양한 유명 브랜드, 통신사, 금융 기관, 정부 기관, 소매 업체 등을 사칭하는 정교한 사기 캠페인을 벌여왔습니다. 구글의 자료에 따르면 이들은 무려 9,000개의 가짜 웹사이트와 100만 개에 달하는 사기성 웹 도메인을 배포했다고 합니다. 이런 규모는 개인이나 소규모 조직이 감당하기 힘든 수준이며, 그들의 조직적인 운영 능력을 짐작게 합니다.

이 조직의 핵심은 ‘아웃사이더(Outsider)‘라는 이름의 ‘초보자를 위한 피싱(phishing-for-dummies)’ 소프트웨어입니다. 이 소프트웨어는 주당 88달러, 월 200달러에 판매되었으며, 기술적인 지식이 부족한 이들도 손쉽게 사기 웹사이트를 만들 수 있도록 설계되었습니다. 솔직히 말해서, 이런 턴키(turn-key) 방식의 솔루션이 존재한다는 사실 자체가 충격적이지 않습니까? 범죄의 진입 장벽을 극단적으로 낮춰버린 셈입니다. 이 소프트웨어는 290개 이상의 미리 만들어진 템플릿을 제공하여 몇 분 만에 실제 웹사이트와 흡사한 복제본을 생성할 수 있게 했습니다. 더욱 놀라운 점은 구글의 자체 AI 플랫폼인 제미니(Gemini)를 포함한 AI 플랫폼을 이용해 가짜 웹사이트를 구축하고, AI 생성 코드를 악용하는 가이드까지 제공했다는 것입니다. 이 부분에서 주목할 점은 사이버 범죄의 민주화가 AI 기술로 가속화되고 있다는 점입니다. 고도의 해킹 기술이 없어도 AI의 도움을 받아 정교한 사기 수법을 구현할 수 있게 된 것이죠. 이는 기술 발전이 양날의 검처럼 사용될 수 있음을 여실히 보여줍니다.

범죄자들은 이 소프트웨어를 이용해 가짜 웹사이트를 만들고, 악성 문자 메시지를 보내거나 광고를 구매하여 피해자들을 유인했습니다. 피해자가 가짜 웹사이트에 비밀번호, 다단계 인증 코드, 금융 정보 등을 입력하면, 이 정보는 아웃사이더 플랫폼을 통해 실시간으로 범죄자들에게 전송되었습니다. 구글은 이들이 약 5개월간 (2025년 11월 14일부터 2026년 4월 14일까지) 159만 개 이상의 관련 URL을 탐지했다고 밝혔는데, 이 방대한 양은 그들의 활동 범위와 지속성을 입증합니다. 아웃사이더 엔터프라이즈는 단순히 사기 소프트웨어를 판매하는 것을 넘어, 타겟 리스트 공급, 대량 스팸 문자 발송 인프라(스마트폰 뱅크, SIM 카드, 모뎀 등), 그리고 훔친 자격을 현금화하고 돈을 세탁하는 조직까지 갖춘 거대한 기업형 범죄 집단이었습니다. 전 세계 95개국에서 발행된 최소 3만 6천 개의 결제 카드를 훔쳤다는 사실은 그들의 국제적인 활동 반경을 짐작게 합니다.

구글의 반격: 기술 vs. 기술, 그리고 그 이상의 노력

구글은 이러한 AI 기반 사기 행위에 맞서기 위해 자체 AI 기반 도구를 활용하여 매달 100억 개 이상의 사기 메시지를 탐지하고 차단하고 있다고 합니다. 기술 대 기술의 싸움이라고 할까요? 하지만 구글의 대응은 단순히 기술적인 차원에 머물지 않았습니다. 그들은 AT&T, T-Mobile, Verizon과 같은 주요 통신사들과 협력하여 사기 문자 메시지를 차단하고 있으며, FBI와도 긴밀하게 공조하여 움직이고 있습니다. 실제로 FBI는 구글 및 루멘(Lumen)의 블랙 로터스 랩(Black Lotus Labs)과 협력하여 이 사이버 범죄자들이 사용하던 여러 도메인과 쇼피파이(Shopify) 상점 및 계정을 압수했다고 밝혔습니다.

이번 소송에서 구글은 아웃사이더 엔터프라이즈의 배후에 있는 익명의 외국 기반 사이버 범죄자들을 상대로 구글 및 그 브랜드 사칭, 저작권 침해, 갈취 활동(racketeering), 전신 사기(wire fraud), 허위 광고 등의 혐의를 적용했습니다. 구글은 금전적 손해배상과 함께 이들의 범죄 활동을 중단하라는 명령을 구하고 있습니다. 개인적으로는 이 소송이 매우 중요하다고 생각합니다. 단순히 피해를 보상받는 것을 넘어, 익명으로 활동하는 국제 사이버 범죄 조직의 디지털 인프라를 법적으로 해체하고 그들의 활동을 원천 봉쇄하려는 시도이기 때문입니다. 이러한 노력이 성공한다면, 앞으로 AI를 악용한 유사 범죄에 대한 강력한 선례가 될 수 있을 것입니다.

결국 이 사건은 우리에게 중요한 질문을 던집니다. AI 기술의 발전은 인류에게 전례 없는 기회를 제공하지만, 동시에 이처럼 교활하고 광범위한 범죄의 도구로 악용될 수 있다는 사실을요. 기술이 발전할수록 보안은 더욱 중요해지며, 기업과 정부, 그리고 우리 개개인이 경계를 늦추지 않고 끊임없이 새로운 위협에 대응해야 한다는 강력한 메시지입니다. 앞으로도 AI와 사이버 보안의 ‘창과 방패’ 싸움은 계속될 것입니다. 우리는 이 싸움에서 어떻게 AI를 선한 영향력으로만 활용하고 악용을 막을 수 있을까요? 우리 모두가 함께 고민해야 할 숙제입니다.

---

출처

• 원문 제목: Chinese cybercrime operation that used AI to scam ‘hundreds of thousands of victims’ sued by Google
• 출처: AI News & Artificial Intelligence | TechCrunch
• 원문 기사 보러가기