지세케+데브리엔트 사장 겸 대표이사 윌리스 모레틴(Willis Morettin) 작성

 

작성자: Willis Morettin

보도일자: 2025년 9월 8일

출처: Biometricupdate.com

 

캐나다 금융 서비스 산업은 지금 중대한 기로에 서 있습니다. 과거 어느 때보다 더 복잡하고 역동적인 사기 환경에 직면해 있기 때문입니다. 수치는 이러한 현실을 명확히 보여줍니다. 2024년 사기 피해액은 6억 3,800만 캐나다 달러를 넘어섰으며, 이는 현대식 공격 기법의 효과를 여실히 보여주는 사례입니다. 그러나 이 숫자는 빙산의 일각에 불과할 수 있습니다. 전체 사기 사건 중 보고되는 비율이 단 5~10%에 불과하다는 주장도 있기 때문입니다.

 

이 문제의 핵심은 사기 수법의 진화에 있습니다. 과거의 사기범들이 데이터 유출이나 카드 복제와 같은 기술적 해킹에 집중했다면, 오늘날의 공격자들은 ‘사회공학(Social Engineering)’의 달인입니다. 이제 그들은 문을 부수는 것이 아니라, 매력적으로 접근해 사람들의 신뢰를 얻어 침투하고 있으며, 그 과정에서 강력한 신기술과 도구들을 활용하고 있습니다. 이러한 광범위한 위협 속에서 금융기관과 소비자 모두 보다 강력한 방어책을 절실히 찾고 있는 상황입니다.

 

AI로 고도화된 사회공학 기법의 부상

현대 사기범들이 사용하는 도구들은 기술의 강력한 영향력을 보여주는 증거입니다. 이 중에서도 핵심은 단연 인공지능(AI)으로, 이는 사기 수법의 판도를 근본적으로 바꾸고 있습니다.

 

공격자들은 대형 언어 모델(LLM)을 활용해 매우 정교하고 설득력 있는 피싱 이메일과 메시지를 만들어냅니다. 이로 인해 진짜 메시지와 가짜 메시지를 개인이 구분하는 것이 거의 불가능해지고 있습니다. 이 메시지들은 개인 맞춤화되어 있으며, 문장도 매끄럽고, 실제 기관에서 온 것처럼 보여 성공 확률을 크게 높입니다.

 

게다가, 딥페이크(Deepfake) 기술의 확산은 캐나다 금융 기관에 새로운 위협의 층을 더하고 있습니다. 사기범들이 신뢰받는 인물의 목소리나 영상을 사실적으로 위조할 수 있게 되었기 때문입니다. 이는 사기 전화나 화상 회의를 강력한 무기로 만들어, 피해자가 민감한 정보를 누설하거나 사기성 거래를 승인하도록 유도하는 데 활용됩니다.

 

결과적으로 보안 체계에서 ‘인간’이 가장 취약한 고리가 되어가고 있으며, 사기범들은 이 점을 치명적으로 악용하고 있는 실정입니다.

 

전통적인 보안의 한계를 넘어서야 할 절실한 과제

이러한 환경 속에서 금융기관들은 이제 과거의 방식만으로는 더 이상 충분하지 않다는 사실을 인식하고 있습니다. 기존에는 거래가 시작된 이후에 이를 보호하는 데 집중했다면, 이제는 사기가 발생하기 전에 이를 방지할 수 있는 선제적이고 다층적인 접근 방식이 필요합니다.

 

이를 위해서는 전통적인 카드 보안 수준을 넘어서, 진화하는 위협 환경에 유연하게 대응할 수 있는 새로운 솔루션 체계를 도입해야 합니다. 이제 사기 방지는 단순히 비밀번호, 일회용 비밀번호(OTP), 보안 질문/답변을 확인하는 수준에 그치지 않습니다. 개인을 인증하고, 사용자의 행동을 이해하며, 전체 디지털 여정을 안전하게 보호하는 것이 핵심이 되었습니다.

 

생체인식과 패스워드 없는 인증

가장 유망한 혁신 분야 중 하나는 바로 생체인식 및 패스워드 없는 인증 방식으로 전환입니다.

 

비밀번호는 오랫동안 보안상 취약점으로 작용해 왔으며, 도난 및 오용의 위험에 쉽게 노출되어 있습니다. 최신 보안 솔루션은 FIDO 표준을 기반으로, 지문이나 얼굴 인식과 같은 생체정보를 활용해 안전하게 비밀번호 없이 로그인할 수 있도록 지원합니다.

 

이 방식은 피싱 공격에 사실상 무력한 고도의 보안 인증 수단일 뿐 아니라, 복잡한 비밀번호를 기억해야 하는 번거로움을 없애 사용자 경험도 크게 향상시켜 줍니다. 특히, 계정 탈취에 대한 강력한 방어 수단이 되는데, 이는 생체정보가 사기범에게 탈취되거나 복제되기 훨씬 어렵기 때문입니다.

 

온보딩 및 등록 절차의 보안 강화

인증 단계를 넘어, 캐나다 금융기관들은 고객과의 초기 접점 또한 강력하게 보호하고 있습니다. 사기범들은 신규 고객을 대상으로 온보딩 및 등록 절차를 노리며, 피싱 수법을 통해 등록 코드나 개인정보를 탈취하려고 시도합니다.

 

이러한 중요 단계에서 피싱에 강한 보안 프로토콜을 도입함으로써, 은행은 고객 관계의 시작부터 더욱 안전한 기반을 구축할 수 있습니다. 여기에는 강력한 신원 확인 절차와 사회공학 공격에 취약하지 않은 다중 인증(MFA) 방식이 포함되며, 이를 통해 오직 실제 고객만이 계좌를 개설하고 금융 서비스를 이용할 수 있도록 보장합니다.

 

행동 분석의 힘

이 새로운 전장에서 또 하나의 강력한 무기는 행동 분석(Behavioral Analytics)입니다. 이 기술은 사용자의 평소 행동 패턴 – 예를 들어 키보드 입력, 마우스 움직임, 거래 시간 및 위치 등을 분석하여 개인 고유의 프로파일을 생성합니다.

 

만약 특정 거래나 활동이 이러한 기존 패턴에서 벗어날 경우, 시스템은 이를 추가 검토 대상으로 표시하거나, 아예 차단할 수 있습니다. 이는 특히 계정 탈취나 사회공학 기반의 공격에 매우 효과적인데, 기존의 규칙 기반 사기 탐지 시스템으로는 감지되지 않을 수 있는 이상 행동을 포착할 수 있기 때문입니다. 예를 들어, 사용자가 새로운 기기와 다른 국가에서 갑자기 고액의 해외 송금을 시도할 경우, 시스템은 이를 자동으로 의심 거래로 인식할 수 있습니다.

 

안전한 정보 공유의 필요성

마지막으로, 사기 대응은 더 이상 개별 기관만의 싸움으로 해결될 수 없습니다. 사기범들은 국경을 초월해 도구, 데이터, 기법을 유기적으로 공유하며 협업하고 있습니다. 이에 대응하려면 금융기관 역시 안전한 방식으로 협업할 수 있는 방법을 찾아야 합니다. 이때 핵심이 되는 것이 바로 프라이버시 강화 기술(PETs, Privacy-Enhancing Technologies)의 도입입니다.

 

예를 들어, 보안 다자간 연산(Secure Multi-Party Computation)과 연합학습(Federated Learning)과 같은 기술을 활용하면, 캐나다 은행들은 고객의 민감한 정보를 공개하지 않고도 암호화된 사기 데이터를 상호 공유하고 분석할 수 있습니다. 이를 통해 개별 기관으로서는 파악하기 어려운 복합적인 사기 패턴을 식별하고 대응할 수 있는, 집단적이고 데이터 기반의 사기 방어 체계가 가능해집니다. 이러한 안전한 협업 문화가 정착되면, 캐나다 금융 산업은 각 기관의 역량을 뛰어넘는 강력하고 회복력 있는 생태계를 구축할 수 있습니다.

 

캐나다 금융 서비스 산업에서의 미래형 사기 방지는 단일 기술의 문제가 아니라, 총체적이고 선제적인 전략입니다. 생체인증, 행동 분석, 프라이버시 강화 기술 등 첨단 솔루션을 적극 도입함으로써, 금융기관은 단순한 사후 대응을 넘어 미래의 위협까지 견딜 수 있는 안전한 디지털 환경을 구축할 수 있습니다. 이러한 변화는 단순히 수익을 보호하는 것에 그치지 않고, 고객 신뢰를 지키며, 금융 시스템의 안정성과 캐나다 전체의 디지털 미래를 확보하는 데 그 목적이 있습니다.

 

저자 소개

윌리스 모레틴(Willis Morettin)은 글로벌 보안 기술(SecurityTech) 기업인 지세케+데브리엔트(Giesecke+Devrient)의 사장 겸 대표이사입니다. 그는 캐나다 온타리오에 거주하고 있습니다. 자세한 정보는 www.gi-de.com에서 확인하실 수 있습니다.