문자 한 통이 도착합니다. 택배가 멈춰 있다거나, 계정에 이상이 있다거나, 도로 통행료가 미납됐다거나, 은행에서 지금 바로 확인이 필요하다는 내용입니다. 화면은 공식 알림처럼 보입니다. URL, 로고, 말투도 허술하지 않습니다. 다만 마음에 작은 불안이 하나 남습니다. 이 문자는 지금 링크를 누르라고 합니다.
2026년 6월 12일, Google은 Outsider Enterprise라는 사이버 범죄 조직을 상대로 소송을 제기했다고 발표했습니다. Google에 따르면 이 조직은 다른 사기범들이 사용할 수 있는 “피싱 키트”를 제공했습니다. 피싱 키트는 가짜 웹사이트를 만들고, 계정 비밀번호와 신용카드 정보를 수집하는 데 쓰이는 도구 묶음이라고 이해하면 됩니다. Google은 이 네트워크가 약 9,000개의 가짜 웹사이트와 100만 개가 넘는 사기 URL을 만들었고, 2주 동안 Android 사용자에게 가짜 웹사이트 링크가 포함된 문자 250만 건을 보냈다고 밝혔습니다.
이 사건에서 일반 독자가 가장 주목해야 할 점은 “사기범도 AI를 쓴다”는 뉴스 제목이 아닙니다. 핵심은 이것입니다. AI가 가짜 웹사이트와 가짜 메시지를 더 진짜처럼 보이게 만들수록, 사기 예방은 직감에만 맡길 수 없습니다. 문자를 받은 그 순간 바로 실행할 수 있는 ‘멈춤 절차’가 필요합니다.
AI 사기가 위험한 이유는 모방 비용을 낮추기 때문입니다
예전의 사기 문자는 허점이 드러나는 경우가 많았습니다. 오타, 어색한 말투, 조잡한 디자인, 이상한 URL 같은 것들입니다. 이런 단서는 여전히 도움이 되지만, 더 이상 주된 방어선으로 삼기는 어렵습니다. Google의 설명에 따르면 Outsider Enterprise는 기술 역량이 많지 않은 사람도 도구를 이용해 가짜 웹사이트, 가짜 문자 흐름, 정보 수집 페이지를 빠르게 만들 수 있게 했습니다. 다시 말해, 나쁜 사람이 직접 웹사이트를 만들 줄 몰라도 공식 서비스처럼 보이는 입구를 만들 수 있다는 뜻입니다.
AI가 개입한 뒤 실제로 달라진 점은 바로 이것입니다. 사기 수법이 반드시 완전히 새로워지는 것은 아니지만, 대량의 모방 콘텐츠를 더 빠르고, 더 싸게, 더 그럴듯하게 만들 수 있습니다. 문자를 받은 사람에게 문제는 더 이상 “이 문자가 허술해 보이는가”가 아닙니다. “이 문자가 나를 검증할 수 없는 절차로 데려가고 있는가”입니다.
예를 들어 택배를 기다리고 있는데 마침 “주소가 불완전합니다”라는 문자를 받았다고 생각해 보세요. 회의 중이라 바쁘고, 빨리 정보를 보완하고 싶습니다. 사기범이 원하는 것은 당신이 완벽한 이야기를 믿는 것이 아닙니다. 가장 바쁘고, 귀찮은 일을 피하고 싶은 몇 초 동안 그들이 짜 둔 절차를 그대로 따라가게 만드는 것입니다. 링크 누르기, 전화번호 입력하기, 신용카드 입력하기, 일회용 인증번호 입력하기처럼요.
그래서 첫 번째 원칙은 간단합니다. 문자 링크를 통해 계정에 로그인하거나, 결제하거나, 인증번호를 입력하라고 요구하는 메시지는 모두 ‘즉시 처리할 일’이 아니라 ‘확인이 필요한 일’로 먼저 보세요.
의심스러운 문자를 받으면 먼저 여섯 가지로 나누어 보세요
서둘러 진짜인지 가짜인지 판단하려 하지 마세요. 더 좋은 방법은 메시지를 먼저 분해하는 것입니다. 이렇게 나누어 보면 많은 사기가 단 하나의 허점 때문이 아니라, 전체 절차가 너무 급하고, 너무 닫혀 있고, 너무 많은 정보를 요구하기 때문에 드러난다는 것을 알 수 있습니다.
| 확인 지점 | 무엇을 봐야 하나요 | 위험 신호 |
|---|---|---|
| 출처 | 발신자, 전화번호, 표시 이름을 독립적으로 확인할 수 있는가 | 표시 이름만 공식처럼 보이고, 공식 앱이나 청구서에서 같은 알림을 찾을 수 없음 |
| 요구사항 | 무엇을 하라고 하는가 | 즉시 로그인, 결제, 신용카드 보완, 인증번호 제공, 파일 다운로드를 요구함 |
| 링크 | URL이 정말 공식 도메인인가 | URL이 너무 길거나, 공식 명칭과 철자가 비슷하거나, 단축 URL을 쓰거나, 도메인이 공식 사이트와 다름 |
| 시간 압박 | 바로 처리하라고 압박하는가 | “오늘 만료”, “계정이 곧 정지됨”, “택배 반송” 같은 말로 빨리 누르게 만듦 |
| 개인정보 항목 | 들어간 뒤 무엇을 입력하라고 하는가 | 전체 이름, 생년월일, 주소, 신용카드, 보안 코드, 일회용 인증번호를 요구함 |
| 다른 경로 | 원래 링크를 쓰지 않고도 같은 일을 처리할 수 있는가 | 문자 링크로만 처리할 수 있고, 공식 앱, 고객센터, 청구서에서는 같은 사건을 찾을 수 없음 |
이 표의 목적은 당신을 보안 전문가로 만드는 것이 아닙니다. “진짜처럼 느껴진다”를 “다른 곳에서 확인할 수 있는가”로 바꾸는 것입니다. 결제, 계정, 인증번호, 개인정보가 관련된 일이라면 원래 문자 링크가 당신의 입구가 되어서는 안 됩니다.
3단계 위험도로 무시할지, 확인할지, 즉시 도움을 요청할지 정하세요
이상한 문자 하나하나에 많은 시간을 쓸 필요는 없습니다. 정말 중요한 것은 반응을 단계별로 나누는 것입니다.
| 위험 단계 | 흔한 상황 | 다음 행동 |
|---|---|---|
| 낮은 위험 | 광고, 명백한 깨진 문자, 사용한 적 없는 낯선 서비스 | 링크를 누르지 말고 차단하거나 스팸으로 신고하면 됨 |
| 중간 위험 | 실제로 택배, 청구서, 구독, 계정 알림이 있을 수도 있는 상황 | 문자 링크를 쓰지 말고 공식 앱, 공식 웹사이트, 종이 청구서로 확인 |
| 높은 위험 | 이미 비밀번호, 신용카드, 인증번호를 입력했거나, 메시지가 은행, 정부, 회사 계정과 관련됨 | 즉시 조작을 멈추고 공식 경로로 비밀번호 변경, 카드나 계정 동결, 문자와 URL 화면 캡처 보관 |
많은 사람이 속는 이유는 경계심이 전혀 없어서가 아닙니다. 중간 위험 상황에 걸리기 때문입니다. 그 일이 “정말 일어났을 수도 있다”고 느껴지는 경우입니다. 예를 들어 실제로 택배를 기다리고 있거나, 통행료가 있을 수 있거나, 구독 서비스를 이용하고 있을 때입니다. 이럴 때 가장 믿을 만한 행동은 문자를 계속 분석하는 것이 아니라 입구를 바꾸는 것입니다.
입구를 바꾼다는 것은 원래 링크를 누르지 않는다는 뜻입니다. 직접 공식 앱을 열거나, 브라우저에 이미 알고 있는 공식 주소를 입력하거나, 신용카드 청구서를 보거나, 카드 뒷면의 고객센터 번호로 전화하거나, 가족이나 동료에게 다른 신뢰할 수 있는 경로로 확인해 달라고 요청하세요. 공식 경로에서 같은 일을 찾을 수 없다면, 원래 문자는 더 이상 처리하지 않는 것이 맞습니다.
AI를 유일한 판단자로 삼지 마세요
이렇게 생각할 수도 있습니다. “그럼 문자를 AI에 붙여 넣고 사기인지 판단해 달라고 하면 되지 않을까?” 보조 도구로는 사용할 수 있습니다. 하지만 마지막 판정자로 삼지는 마세요.
이유는 두 가지입니다. 첫째, AI는 흔한 사기 말투를 알아차릴 수는 있지만, 그 계정, 택배, 결제 요청이 실제로 당신에게 일어난 일인지 대신 확인해 줄 수는 없습니다. 둘째, 문자 전체, 전화번호, 링크, 개인정보, 인증번호를 모두 AI에 붙여 넣으면 민감한 정보를 또 다른 불필요한 곳에 넘기게 될 수 있습니다.
더 안전한 방법은 민감하지 않은 부분만 붙여 넣고, AI에게 “이 메시지에서 확인해야 할 지점이 무엇인지” 정리해 달라고 하는 것입니다. “이게 반드시 진짜인지 가짜인지”를 묻는 방식은 피하세요. 예를 들어 이름, 전화번호, 주소, 인증번호는 가리고, 요구사항과 URL 형태만 남길 수 있습니다. 그런 다음 위의 여섯 가지 확인 지점으로 돌아가 공식 경로에서 확인하세요.
가족이나 팀에서 비교적 기술에 익숙한 사람이라면 이 절차를 짧은 안내문으로 만들어 둘 수도 있습니다. 가족에게 바로 보내기 좋은 세 문장은 다음과 같습니다.
- 문자를 보면 먼저 링크를 누르지 마세요.
- 무엇을 내놓으라고 하는지 먼저 보세요. 비밀번호, 신용카드, 인증번호가 나오면 일단 멈추세요.
- 공식 앱, 공식 웹사이트, 청구서로 같은 일을 다시 확인하세요.
진짜 효과적인 방어선은 모든 사람이 AI 사기 기술을 이해하는 것이 아닙니다. 모든 사람이 “원래 링크는 입구가 아니다”라는 것을 아는 것입니다.
이미 눌렀거나 정보를 입력했다면 먼저 피해 확산을 막으세요
당신이나 가족이 이미 링크를 눌렀다면, 먼저 자책하느라 시간을 쓰지 마세요. 빨리 막을수록 손실은 줄어듭니다.
| 피해 확산 방지 순서 | 해야 할 일 |
|---|---|
| 1. 먼저 멈추기 | 더 이상 어떤 정보도 입력하지 않기. 상대방의 추가 지시에 따라 앱을 설치하거나, 원격 제어를 열거나, 인증번호를 제공하거나, 송금하지 않기 |
| 2. 증거 남기기 | 문자, URL, 결제 페이지, 통화 기록을 보관하고, 이미 입력한 정보가 무엇인지 적어 두기 |
| 3. 그다음 처리하기 | 비밀번호 변경, 다른 기기에서 로그아웃, 은행이나 카드사 연락, 카드 동결 또는 재발급, 필요하면 플랫폼, 통신사, 경찰에 신고 |
이 순서를 거꾸로 하지 마세요. 먼저 절차를 멈춰야 다음 단계를 판단할 여유가 생깁니다.
이 일이 회사 계정, 고객 자료, 업무용 신용카드에서 발생했다면 개인 채팅 안에서만 처리하지 마세요. 실제로 이 일을 책임지는 사람에게 알려야 합니다. 계정을 일시 중지하고, 보안 담당자에게 알리고, 은행에 연락하거나, 고객 신고 여부를 결정할 수 있는 사람 말입니다. 사기가 가장 두려워하는 것은 당신의 완벽한 판단이 아니라, 절차가 빨리 끊기는 것입니다.
AI는 사기 콘텐츠를 더 진짜처럼 보이게 만들지만, 가장 기본적인 보안 원칙을 바꾸지는 못합니다. 중요한 일은 낯선 링크에서 시작하지 마세요. 어떤 문자가 지금 당장 누르라 하고, 지금 당장 결제하라 하고, 지금 당장 정보를 내놓으라 한다면, 당신이 해야 할 첫 단계는 그것이 얼마나 공식처럼 보이는지 판단하는 것이 아닙니다. 멈추고, 스스로 검증할 수 있는 다른 입구로 바꾸는 것입니다.
생활 4컷 만화
- 바쁜 사람이 택배, 계정, 결제와 관련된 진짜처럼 보이는 메시지를 받고 링크를 따라갈 뻔합니다.
- 누르기 전에 멈추고, 그 메시지가 검증되지 않은 입구로 자신을 데려가려 한다는 점을 알아차립니다.
- 공식 앱, 이미 알고 있는 공식 웹사이트, 청구서, 고객센터 같은 신뢰할 수 있는 경로로 바꿉니다.
- 마지막으로 같은 ‘멈추고 확인하기’ 안내가 가족이나 동료가 민감한 정보를 입력하지 않도록 도와줍니다.
AI 정리 카드
이 글의 상황에 맞춰 AI에게 정리하게 하기
자신의 AI 채팅 도구에 붙여 넣으면 이 미니 클래스를 개인용 체크리스트로 바꿀 수 있습니다. BMC는 사용자가 AI에 붙여 넣은 내용을 볼 수 없습니다.
참고 자료
- Google The Keyword: How we’re combatting AI scams with security, legislation and more — https://blog.google/innovation-and-ai/technology/safety-security/combatting-ai-scams/
- Ars Technica: Google sues Chinese cybercrime network that used Gemini to automate scams — https://arstechnica.com/google/2026/06/google-sues-chinese-cybercrime-network-that-used-gemini-to-automate-scams/
- TechCrunch: Chinese cybercrime operation that used AI to scam ‘hundreds of thousands of victims’ sued by Google — https://techcrunch.com/2026/06/12/chinese-cybercrime-operation-that-used-ai-to-scam-hundreds-of-thousands-of-victims-sued-by-google/
