악성앱에는 정상앱과 다른 악성앱만의 특징이 있습니다. 다행히 우리가 개발한 '피싱아이즈'가 잘 잡아냅니다. 시중에 나와있는 보이스피싱 방지앱과 비교도 해봤는데요. 우리가 잡아낸 걸 못잡는 앱이 상당수였습니다.
유경식(49) 인피니그루 대표는 프레젠테이션 화면에 악성앱 탐지 테스트 결과를 띄웠다. 안랩·이스트소프트·노턴·맥아피 등 국내외 보안업체 11곳이 개발한 앱이 가짜 금융기관앱을 얼마나 잡아내는지 분석한 표다.
결과는 참담했다. 내로라하는 보안업체의 탐지율이 50%를 밑돌았다. 단 한 건의 악성앱을 잡아내지 못한 유료앱도 있었다. 유 대표는 "우리도 놀랐다"고 했다.
피싱아이즈는 보이스피싱 차단앱이다.
통화를 하거나 문자를 받았을 때 보이스피싱으로 의심되는 키워드를 실시간 감지해 악성앱을 잡아낸다. 이 정보를 금융기관에 보내 보이스피싱범에게 자금이체나 대출이 실행되는 걸 막는다.
현재 신한카드 고객을 대상으로 서비스 중이며, 내달께 신한은행·코빗 등 다른 금융기관 고객에게도 적용할 예정이다.
"평범한 사람이 얼마든 당할 수 있는 게 보이스피싱입니다. 직접 보세요. 가려낼 수 있습니까? 머리가 좋고 나쁘고의 문제가 아닙니다. 사정이 급한 사람들은 보이스피싱범에게 넘어갈 수밖에 없어요. 두어달 전 당했는데 또 당한 사람도 있습니다."
유 대표는 금융기관이 배포한 정상앱과 보이스피싱범이 만든 가짜앱을 보여주며 어느 게 악성앱이지 맞혀보라고 했다. 겉으로는 큰 차이가 없었다.
그는 "이미 악성앱이 깔렸다면 그 스마트폰은 보이스피싱범에 장악당한 것으로 봐야한다"며 "장악된 뒤에는 경찰이나 은행에 전화를 걸어도 보이스피싱범이 전화를 가로채 진짜 경찰이나 은행인 척 하며 피해자를 속인다"라고 했다.
보이스피싱 차단앱이 여럿 나와있지만 피해를 줄이는데 한계가 있는 것도 이 같은 이유에서 찾았다.
"대부분의 차단앱은 사용자에게 보이스피싱일 수 있다는 경고에 그칩니다. 사기 여부를 사용자 판단에 맡기는 거죠. 그런데 보이스피싱범은 차단앱을 먼저 죽이고 들어와요. 사용자들은 차단앱이 경고를 줄 것으로 믿었는데 경고가 없으니까 당하는 일이 생깁니다."
피싱아이즈는 사전에 축적한 데이터와 인공지능 모형을 바탕으로 보이스피싱을 감지해 자동으로 금융기관에 관련정보를 준다. 보이스피싱 여부를 사용자가 아닌 금융기관이 판단토록 한 것이다. 이 때 중요한 건 사용자가 보이스피싱범으로부터 당하고 있다는 사실을 정확히 알아내는 일이다.
유 대표는 "이상징후탐지 노하우를 꾸준히 축적해왔다"라고 답했다. 인피니그루는 피싱아이즈 개발 전 SBI저축은행·NH농협카드·티머니·국립암센터·건양대병원 등에 이상징후탐지 솔루션을 공급했다. 병원에서 쓰일 일이 있느냐는 질문에 "처방전 입력시 자칫하면 약물오남용 사고가 날 수 있다. 이를 막는 솔루션을 공급한 것"이라고 설명했다. 피싱아이즈도 스마트폰에서 일어나는 이상징후를 파악하는 기술이 기반이 됐다고 했다.
피싱아이즈는 지난 4월 출시 이후 1만1000명이 내려받았고 2100명이 상시적으로 사용하고 있다. 상시 사용자 가운데 40명에게서 보이스피싱앱을 찾아냈다. 53명중 1명 꼴이다.
유 대표는 "더 많은 금융기관과 정보공유가 이뤄지면 피해를 줄이는데 큰 도움이 될 것"이라고 했다. 현재는 피싱아이즈가 잡아낸 보이스피싱 정보를 제휴를 맺은 금융기관만 활용할 수 있다. 2차, 3차 피해를 막으려면 다른 금융기관과 실시간 공유가 이뤄져야 하지만 일일이 고객동의를 구해야해 대응이 늦을 수밖에 없다.
유 대표는 "예를 들어 신한카드에서 보이스피싱 시도를 차단했더라도 개인정보보호법과 신용정보법상 다른 금융기관에 이 정보를 알려줄 수 없게 돼있다"며 "금융사기정보에 한해 고객동의와 관계없이 실시간 공유가 이뤄지도록 해야 한다"고 말했다.
금융감독원에 따르면 보이스피싱 피해액은 2017년 2431억원, 2018년 4440억원, 2019년 6720억원으로 매년 급증하는 추세다. 유 대표는 "가정을 책임진 40~50대의 피해가 가장 심각하다. 점점 진화하는 범죄에 대응해 우리사회도 경각심을 가져야 한다"고 했다.
