디지털 기술이 발전함에 따라, 보이스피싱은 과거의 단순 전화 사기에서 벗어나 피싱 사이트 구축이나 음성 합성 등 기술적인 수단을 악용하여 더욱 정교하고 조직화된 범죄 양상을 띠고 있습니다. 정부와 금융기관이 시행한 여러 대응책들, 예를 들어 관련 특별법의 시행이나 은행의 24시간 의심거래 모니터링[1] 체계 도입에도 불구하고 2024년 집계된 보이스피싱 피해액 및 전년대비 피해액 증감률이 역대 최고를 기록하였습니다[2].
<그림 1> 연도별 보이스피싱 총 피해액 및 전년대비 피해액 증감률 [2]
이러한 수치는 보이스피싱 범죄 수단이 대응 방법보다 더 빠르게 발전하고 있음을 방증합니다. 특히, 최근에는 생성형AI를 활용해 피해자 맞춤형 대화 스크립트를 제작하거나 딥페이크 음성으로 가족, 지인, 또는 상사 등을 흉내내는 사례[3, 4]가 등장하고 있습니다. 이처럼 보이스피싱 범죄가 기술적·심리적 요소가 결합되면서 키워드 기반 탐지나 신고 누적 방식 등 데이터 기반 분석 중심의 대응 방법만으로는 범죄의 전개 과정을 충분히 분석하기 어렵습니다. 따라서 보이스피싱 범죄자가 피해자를 속이고 행동을 통제하여 금전적 이득을 얻기까지의 과정을 단계별로 구조화해 분석하는 새로운 접근이 필요합니다. 이러한 관점에서, 본문에서는 보이스피싱 범죄 절차를 전술 단위로 세분화하고 이를 체계적으로 정리한 보이스피싱 전술 매트릭을 소개하고자 합니다. 또한, 이 매트릭을 실 사례에 적용하여 각 전술들이 보이스피싱 범죄 시나리오에서 어떻게 구성되는지도 함께 살펴보겠습니다.
보이스피싱 대응 방안의 한계
앞서 서술하였듯이 지금까지의 보이스피싱 대응은 주로 신고된 번호[5], 이상거래 탐지 시스템(FDS)[6] 등 데이터 기반 분석을 중심으로 이루어져 왔습니다. 그러나 이러한 방식은 수법의 변형이나 카카오톡, 인스타그램 등의 새로운 접근 채널의 등장으로 인해 동일한 범죄도 전혀 다른 형태로 분류될 수 있다는 한계를 지니고 있습니다. 표 1에서 최근에 관찰된 신종 보이스피싱 수법의 일부를 정리한 것입니다.
<표 1> 신종 보이스피싱 수법 [7]
| 사기 수법 | 설명 |
| 배송 사기 | 피해자에게 카드, 택배 등의 배송 예정이라는 전화를 하고, 피해자가 배송 요청을 안했다고 하면 명의 도용인 것 같다고 고객센터 혹은 앱을 설치하라는 사기 |
| 환전 사기 | 외국인 대상으로 등록금을 타 은행들보다 싼 환율을 통해 원화로 바꿔주겠다는 사기 |
| 채용 사기 | 이력서를 보고 연락드렸다며 화상 면접을 위해 앱을 설치하라는 사기 |
| 노쇼 사기 | 자영업자에게 유명 연예인이 갈거다고 이야기하고, 특별 요청으로 고가의 와인, 술을 요구하면서 주류 판매상, 혹은 온라인 사이트를 소개. 그 후 연락 두절 |
이러한 한계를 극복하기 위해서는 범죄의 단계와 각 단계에서 사용되는 전술에 주목하여 전술 단위로 구조화된 매트릭을 설계하는 것이 필요하다고 판단했습니다. 이러한 접근 방법은 사이버 공격 분석에서 활발히 사용되고 있습니다. 대표적인 것이 MITRE ATT&CK 프레임워크[8]인데, 이 프레임워크는 해커가 공격을 수행할 때 사용하는 전술(Tactics)과 기법(Techniques)을 단계별로 정리한 지식 베이스입니다.
<그림 2> MITRE ATT&CK 프레임워크[8]
그림 2와 같이 MITRE ATT&CK에서는 공격자가 목표 시스템에 대해 무엇을 수행하는지 그리고 그 목적을 이루기 위한 구체적인 방법이 계층적으로 서술되어 있습니다. 하지만, 보이스피싱은 사람을 속이는 심리적조작에 초점을 두기 때문에MITRE ATT&CK의 기술 중심 구조만으로는 설명하기 어렵습니다. 따라서 이러한 범죄 특성을 반영할 수 있는 보이스피싱 대응 전용 매트릭이 필요합니다.
보이스피싱 전술 매트릭
보이스피싱 범죄를 전술 단위로 나눈다는 것은 범죄자가 어떤 목적을 가지고 어떤 행동을 하는지 단계별로 구분한다는 의미입니다. 여기에서 전술은 단순한 행위가 아니라 피해자에게 그러한 행동을 한 이유와 의도에 초점을 맞춘 개념입니다. 이와 같이 전술별로 범죄 과정을 구분하면 각 단계에서 반복적으로 드러나는 공통된 패턴과 신호를 파악할 수 있습니다. 예를 들어, 권위 있는 직함을 이용해 피해자의 경계심을 낮춘다든가 혹은 녹음에 제 3자의 목소리가 들어가면 안되니 주변에 사람이 없는 곳으로 유도하는 행위가 관찰됩니다.
이와 같이 보이스피싱 범죄를 전술 단위로 규정하면 각각의 전술에서 관찰 가능한 신호와 특징을 체계화할 수 있고, 그런 신호들의 조합과 순서를 분석함으로써 범죄의 전개 과정을 이해할 수 있게 됩니다. 이러한 접근은 변종·신종 보이스피싱 범죄를 일반화해서 탐지하는 근거가 될 수 있는데, 표현이 달라도 동일한 전술 흐름이 드러난다면 그 범죄는 동일한 유형으로 분류될 수 있기 때문입니다. 이러한 기준을 바탕으로 보이스피싱 전술 매트릭을 9개의 전술로 정리하고, 각 항목의 의미, 특징, 그리고 예시를 표 2에 정리했습니다.
<표 2> 보이스피싱 전술 매트릭
| 전술명 | 의미 | 특징 | 예시 |
| 사기 수단 준비 | 보이스피싱을 수행하기 위해 필요한 사기 도구 및 피해자 관련 정보를 사전에 확보 | 대포 통장, 피싱 사이트 구축, 피해자 프로필 확보 | 대포폰 및 대포 통장 구입 SNS로부터 피해자 정보 수집 |
| 초기 접촉 | 범죄자가 피해자에게 전화를 하거나 메시지 송신, SNS 게시글을 통해 최초 접촉을 시도 | 전화, 문자, 메신저 등 다양한 채널 활용 | 직접 전화 통화 시도 저금리 대출 가능 문자 송신 |
| 신뢰 구축 | 권위, 친밀감, 보상 등 심리적 전략을 통해 피해자의 경계심 완화하고 대화를 통해 신뢰를 형성 | 기관, 가족, 지인 등 사칭, 딥페이크 음성 활용 | 검찰 수사관 사칭 및 수사 협조 요청 |
| 고립 및 접촉 제어 | 피해자가 외부와 접촉하지 못하게 유도하고, 범죄자와의 통화를 지속시키거나 연결을 유지 | 장소 이동 및 대화 지속 등을 통해 외부 개입 차단 | 녹취를 위해 사람이 없는 곳으로 장소 이동 요청 |
| 탐색 | 범죄자가 피해자의 정보를 획득하기 위한 방법 | 대화, 메신저/SNS, 피싱 사이트, 악성 앱 등을 활용 | 피싱 사이트 내 이름, 주민등록번호 입력 요청 |
| 기기 제어 | 피해자 기기에 악성 앱 설치 등을 유도하여 원격 제어나 감시 기반을 구축 | 악성 앱의 설치 유도 및 앱 기반 기기 제어 | 피싱 사이트 접속 유도 및 악성 앱 파일 다운로드 유도 |
| 정보 수집 | 피해자의 개인 정보, 금융 정보 등의 민감 정보를 수집 | 기관이나 지인을 사칭하거나 피싱 사이트를 통한 정보 수집 | 피해자의 개인 정보, 이용 은행, 계좌 번호 저장 |
| 행동 통제 | 피해자의 신뢰를 바탕으로 구체적인 행동을 수행하도록 통제 | 피해자의 무비판적인 범죄자 지시 이행 | 은행에 직접 가서 현금 인출을 지시 |
| 금전 탈취 | 피해자가 현금 전달, 계좌이체 등의 행위를 수행하여 금전적 피해가 현실화 | 피해자 금전 편취 | 현금 수거책에게인출한 현금 전달 지시 |
보이스피싱 전술의 흐름
<그림 3> 보이스피싱 전술 흐름도
그림 3은 보이스피싱의 개별 전술들의 흐름을 보여줍니다. 개별 전술(예: 신뢰 구축, 고립 및 접촉 제어, 탐색 등)은 각각 관찰 가능한 특징을 가지지만, 실제 보이스피싱에서는 이 전술들이 차례로 연결되거나 겹치면서 하나의 범죄 유형을 만듭니다. 대부분의 보이스피싱 사례는 먼저 사전 정보 수집과 신뢰 형성으로 피해자의 경계심을 낮춘 뒤 정보를 확보하거나 행동을 통제한 다음 피해자의 행동을 유도하여 금전 탈취로 이어집니다. 따라서 사건을 분석할 때에는 단편적 발화나 순간적 행동만을 보는 것이 아니라, 전술들이 어떤 순서로 어떤 방식으로 결합했는지를 따라가며 전체 흐름을 분석해야 합니다.
실 사례 적용
보이스피싱 전술 매트릭을 기반으로 금융감독원 공개데이터[9]를 유형별로 분석합니다. 본 연구에서는 금융감독원이 분류한 사례를 대상으로 전술 매트릭을 적용하여 대표적인 두 유형의 전개 과정을 전술 단위로 재구성한 예시를 살펴보겠습니다.
유형 1: 수사기관 사칭형
수사기관 사칭형은 검찰청 수사관, 금융감독원 등 공적 기관을 사칭하여 피해자에게 접근하는 방식입니다. 현재 유형의 시나리오 예시는 실제 금전 유출로 즉각 연결되지 않더라도, 범죄자가 권위적 지위를 내세워 피해자의 신뢰를 구축한 후 개인 정보를 확보할 수 있음을 보여줍니다. 관찰된 전개 흐름은 그림 4와 같습니다.
<그림 4> 수사기관 사칭형의 보이스피싱 전술 흐름
- 초기 접촉: 범죄자가 피해자에게 전화로 접촉합니다.
- 신뢰 구축: 자신을 검찰청 소속 수사관이라고 소개하는 등 권위적 요소를 제시하여 피해자의 신뢰를 형성합니다. 범죄자가 피해자의 직업 등 일부 신상 정보를 알고 있다는 언급은 신뢰 형성에 크게 작용합니다.
- 고립 및 접촉 제어: 범죄자는 녹취·절차 등의 명분을 들어 피해자에게 주변에 사람이 없는 장소로 이동하라고 요구하는 등 외부와의 접촉을 차단하려 시도합니다.
- 탐색 및 정보 수집: 피해자의 은행, 계좌번호, 자산 현황 등 금융·신상 정보를 대화로 확인합니다.
- 행동 통제: 범죄자는 피해자에게 자신의 이름·소속·사건 번호를 메모하게 하거나 특정 행동을 유도하여 피해자의 행동을 통제합니다.
이와 같이 수사기관 사칭형은 권위 기반의 신뢰 형성 이후 고립을 통해 심리적 또는/그리고 물리적인 통제를 강화하고, 그 상태에서 피해자의 개인 정보를 탐색하고 수집하는 흐름을 보입니다.
유형 2: 대출 사기형
대출 사기형은 금융기관을 사칭하여 저금리 대출, 신용 등급 향상 등의 혜택을 제시하며 피해자를 유인하는 유형입니다. 이 유형의 시나리오는 피해자에게 직접적 이익을 미끼로 제공함으로써 초기부터 경계심을 낮추고, 이후 기술적 수단을 통해 기기 접근 및 정보 수집으로 이어지는 특징을 보입니다. 전개 흐름은 그림 5와 같습니다.
<그림 5> 대출 사기형의 보이스피싱 전술 흐름
- 초기 접촉: 범죄자가 피해자에게 전화 등으로 먼저 접촉합니다.
- 신뢰 구축: 중도 수수료 면제, 저금리 등의 혜택을 제시하여 피해자의 경계심을 완화합니다.
- 행동 통제: 범죄자는 피해자에게 피싱 사이트의 IP 또는 접속 방법을 안내하며 사이트 접속을 유도합니다.
- 기기 제어: 피싱 사이트 접속이나 안내에 따라 악성 앱 다운로드를 유도하여 피해자 기기에서 원격 제어나 인증 우회 등의 권한을 확보합니다. 이 앱은 정상 금융 앱으로 위장되어 있습니다.
- 정보 수집: 설치된 악성 앱을 통해 피해자의 이름, 전화번호 등 개인정보를 수집합니다.
대출 사기형은 혜택 제시로 시작하여 경계심을 낮춘 후 기기 제어를 통해 정보 수집으로 전환되는 흐름을 특징으로 합니다.
수사기관 사칭형과 대출 사기형에 대해, 두 유형 모두 제안한 전술 매트릭으로 설명이 가능함을 확인하였습니다. 분석한 사례에서는 사기 수단 준비 및 금전 탈취 단계가 드러나지 않아 전술 흐름에서 제외하였지만, 나머지 전술들이 각 유형에 따라 다른 조합과 순서로 활용되는 것을 볼 수 있었습니다.
글을 마치며
보이스피싱은 더 이상 단편적 범죄가 아니라 기술적 수단과 심리적 조작이 결합된 복합적인 범죄입니다. 이를 효과적으로 대응하기 위해서는 데이터의 분석이 아닌 범죄자가 어떤 전술을 구사하고 어떻게 피해자를 통제하는지를 구조적으로 이해해야 합니다. 이러한 이해를 돕기 위해 보이스피싱 전술과 특징을 매트릭으로 정의하였고, 이 매트릭을 바탕으로 전술별 세부 기법을 정의하고 AI 기반 분류 모델을 학습시킨다면 보이스피싱에 대한 효과적인 대응과 변종·신종 보이스피싱 또한 정확하게 탐지하고 대응할 수 있을 것으로 기대합니다.
참고문헌
[1] 강현우, “은행들, 내년부터 보이스피싱 의심거래 24시간 모니터링”, 한국경제, 2023, https://www.hankyung.com/article/2023122001361
[2] 경찰청, “경찰청_보이스피싱 현황”, 공공데이터포털, 2024.
[3] 김신규, “AI 보이스피싱, 가족의 목소리도 속인다”, 데일리굿뉴스, 2025, https://www.goodnews1.com/news/articleView.html?idxno=450706
[4] 이윤석, “최근 금융사기 현황과 대응과제,” 한국금융연구원, 2024.
[5] 박재상, “보이스피싱 24시간 365일 즉시 대응한다…”피싱 번호 10분 내 차단”,” 뉴스데일리, 2025.
https://www.newsdaily.kr/news/articleView.html?idxno=249517
[6] 금융보안원, “금융보안원, 지난 해 1,223억원의 보이스피싱 등 사기 피해 예방,” 2024.
https://www.fsec.or.kr/bbs/detail?bbsNo=11406&menuNo=69
[7] 피싱아이즈, 신종 피싱 사례, https://www.phishingeyes.com/board-type/1/boards
[8] MITRE ATT&CK®, https://attack.mitre.org/
[9] 금융감독원, “보이스피싱 체험관 – 그놈 목소리”, https://www.fss.or.kr
KAIST 사이버보안연구센터 사이버범죄분석팀 연구원으로 유해사이트 탐지 연구를 수행하고 있다.