미국 연방수사국(FBI) 인터넷 범죄 불만 센터(IC3)는 미국 법률 집행 기관이 신고를 접수한 모든 유형의 디지털 범죄 보고서 통계 분석 후 2022년, 비즈니스 이메일 보안 침입 사기 피해 금액이 가장 크다는 사실을 확인했다. 그러나 FBI가 2023년 3월 9일(현지 시각) 발표한 2022년 사건을 담은 인터넷 범죄 보고서(Internet Crime Report)는 투자 사기가 가장 큰 디지털 위협이라는 입지를 차지함과 동시에 2022년 발생한 피해 금액이 33억 달러에 육박한다고 발표했다.
IC3는 여러 기업을 속여 가짜 결제를 유도하거나 합법적인 결제를 가로채는 비즈니스 이메일 보안 침입이 2021년과 2022년 각각 24억 달러, 27억 달러에 이르는 금전적 피해를 낳았다는 분석 결과를 전했다. 다시 말해, 비즈니스 이메일 보안 침입 공격이 지금도 심각하면서 피해 사례가 증가한다는 의미이다. 그러나 유독 암호화폐 투자 경로를 제공한다는 주장을 내세운 사기를 위주로 한 투자 사기가 지난 18개월 사이에 급격히 증가한 것으로 관측됐다. 특히, 공격 세력이 문자 메시지나 다른 메시지 플랫폼을 통해 임의의 잠재적 피해자에게 연락하여 신뢰 형성을 위한 대화를 시작한 뒤 개인이 거액의 투자 수익을 누릴 수 있는 투자 거래를 할 기회를 돕는다고 주장하는 이른바 ‘돼지 도살 사기(pig butchering scam)’ 수법을 동원한다.
2022년, 투자 사기 피해 금액은 총 33억 1,000만 달러로, 14억 5,000만 달러를 기록한 2021년 대비 127% 증가한 것으로 집계됐다. 특히, FBI는 암호화폐 투자 사기가 2022년 기준 총 25억 7,000만 달러 상당의 피해 금액 발생 원인이 됐으며, 피해 금액 9억 700만 달러를 기록한 2021년 대비 183% 증가한 사실에 주목했다.
2021년, IC3는 암호화폐 스캠이 아닌 로맨스 스캠이라는 이름 아래로 돼지 도살 사기라는 이름과 범주로 돼지 도살 사기를 추적하며, 돼지 도살 사기 관련 피해 금액이 4억 2,900만 달러에 이른다고 언급했다. IC3는 신규 보고서에서 돼지 도살이라는 표현을 사용하지 않았으나 한 가지 불만이 여러 범죄 유형을 포함할 수 있다는 내용의 첨부 자료에 돼지 도살 사기라는 표현을 사용했다.
[사진=Freepik]
피해 규모는 IC3가 돼지 도살 사기가 급격히 증가한 가운데, 사기 개시 방법을 이해하려 신속 대응하려 노력한 점을 반영한 듯하다. 그러나 다양한 사기 유형 범주 분류 방식에 의존한다는 점에서 정확한 사기 범죄 실태 설명을 확보하기 어렵다. 예를 들어, ‘신뢰 사기’라는 이름으로 칭하기도 하는 로맨스 스캠 신고 건수는 2021년 총 2만 4,299건에서 2022년 1만 9,021건으로 줄어들었다. 관련 범죄 피해 금액은 9억 5,600만 달러에서 7억 3,600만 달러로 감소했다. 그러나 미국 연방거래위원회(FTC)는 2023년 2월, 2022년 로맨스 스캠 건수는 약 7만 건, 피해 금액은 13억 달러에 육박한다는 보고를 받았다고 밝혔다.
FBI는 2022년도 인터넷 범죄 보고서에 “암호화폐 투자 사기의 피해자와 투자자 손실 금액 모두 유례없는 수준으로 증가했다. 많은 피해자가 사기 투자 피해 금액을 다룰 거액의 부채를 부담한 것으로 추정된다”라고 말했다.
돼지 도살 사기를 추적한 연구원은 암호화폐 투자 사기 피해 금액 증가 추세를 손쉽게 이해할 수 있다고 말한다. 일례로, 보안 기업 소포스(Sophos)의 최신 연구 보고서는 수석 위협 연구원 션 갤러거(Sean Gallagher)가 1개월간의 암호화폐 탈취 금액이 50만 달러에 육박하는 것으로 추정된 어느 한 범죄 작전을 추적한 사례를 언급했다. 갤러거 연구원은 범죄 조사를 계속 이어가면서 사기 공격 세력과 관련된 지갑을 추가로 확인한 뒤 사기 공격 세력이 지난 5개월 동안 탈취한 금액이 300만 달러 이상이라는 결론을 내렸다.
오랫동안 사이버 보안 연구원으로 활동한 사이버 보안 기업 코펜스(Cofense) 수석 위협 자문 위원인 로니 토카조위스키(Ronnie Tokazowski)는 “2022년 암호화폐 투자 사기 피해는 지금껏 직접 조사한 사례 중 피해 규모가 가장 심각하다. 비즈니스 이메일 보안 침입은 7년 이상 증가했으며, 비즈니스 이메일 보안 침입 수법이 주로 서아프리카에서 발생한 가운데 사회 전체적으로 이를 이해하는 데 애먹었다. 이제 대다수 돼지 도살 사기가 동남아시아에서 시작하는 등 투자 사기 발생 지역이 과거와는 달라졌다. 이제 서아프리카와 동남아시아 두 곳에서 발생하는 사기와 수십억 달러 상당하는 피해 금액 발생 문제를 다루어야 한다”라고 설명했다.
IC3는 비즈니스 이메일 보안 침입과 투자 사기 이외에도 2022년, 랜섬웨어 공격 신고 건수가 총 2,385건을 기록했으며, 피해 금액은 3,430만 달러를 기록했다는 사실도 확인했다. 2022년 랜섬웨어 피해는 2021년 신고 건수 3,729건, 피해 금액 4,900만 달러 대비 감소한 것으로 집계됐다.
FBI는 항상 IC3 보고서의 수치가 실제 수치보다 적게 추산한 결과일 수 있다고 강조한다. 전 세계 피해자의 자발적인 범죄 피해 보고에 의존하기 때문이다. 이는 범죄 발생 건수 증감 추세가 정확히 알려지지 않은 실제 수치와 완벽하게 일치한다고 추측할 수 없다는 의미이기도 하다. 그러나 보고서에는 IC3 데이터가 유용하면서 귀중한 지표라는 내용이 언급되었다. FBI에 신고된 투자 사기 손실 규모는 2022년 기준 총 80만 944건으로, 총 84만 7,376건을 기록한 2021년 대비 5%가 감소했다는 분석 결과를 주목할 만한 부분으로 제시할 수 있다.
FBI 집행 부책임자 티모스 란간(Timothy Langan)은 “사이버 범죄 세력이 계속 공격의 회복성을 강화하고 심각한 피해를 낳도록 할수록 대응이 더 어려워지지만, IC3에 보고되는 범죄 피해 사례는 매일 많은 이들이 접하는 위협을 더 자세히 이해하도록 돕는다. 위협 사례가 증가할수록 피해자가 사이버 범죄 사건과 사이버 기반 사기를 FBI에 신고하도록 계속 독려하여 악성 사이버 범죄 세력이 제기하는 위험성과 그 여파를 다룰 수 있도록 한다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202303/4623_6081_4425.jpg)
뉴스레터 신청