작성자: Anthony Kimery

보도일자: 2025년 7월 14일

출처: Biometricupdate.com

 

사칭 사기와 AI 기반의 사기 행위가 미국의 신원 도용 위협 지형을 재정의하고 있다고, 신원 도용 자원 센터(Identity Theft Resource Center)가 2025년판 신원 동향 보고서(2025 Trends in Identity Report)를 통해 밝혔다. 이 보고서는 2024년 4월 1일부터 2025년 3월 31일까지 신고된 범죄를 다루고 있다.

 

보고서는 신원 관련 범죄가 기존의 금융 사기에서 벗어나 주택, 교육, 디지털 서비스 등으로 확장되고 있는 우려스러운 양상을 그리고 있다. 이는 보다 정교해진 범죄 수법과 AI에 대한 의존도가 높아진 결과로, 신원 범죄의 역학을 근본적으로 바꾸어 놓았다.

 

사기범들은 AI를 활용해 그럴듯한 사기 콘텐츠를 대량으로 만들어 내고, 목소리와 얼굴을 모사하며, 진짜와 거의 구별되지 않은 가짜 웹사이트와 이메일을 제작하고 있다. 이를 통해 범죄 조직은 운영 규모를 확대하고 공격을 개인화해, 더욱 효과적이고 추적하기 어렵게 만들고 있다. AI는 이 지하 생태계에서 일종의 ‘힘의 증폭기’ 역할을 하고 있으며, 범죄자들이 훨씬 더 높은 효율과 대규모로 활동할 수 있도록 기술적 우위를 제공해, 이를 막기 위한 노력마저 복잡하게 만들고 있다.

 

주요 사례들은 신원 범죄의 범위와 영향을 잘 보여준다. 전 미국 하원의원 조지 산토스(George Santos)는 사기 송금(wire fraud)과 가중 신원 도용 혐의로 7년 이상의 징역형을 선고받았다. 그는 기부자들의 신용카드 정보를 무단으로 사용하고, 재정 정보를 허위로 꾸미며, 정치적·개인적 이익을 위해 여러 사람을 사칭했다.

 

미네소타 바이킹스(Minnesota Vikings)의 신인 선수 댈러스 터너(Dallas Turner)는 은행 직원을 사칭한 사기범들에게 속아 24만 달러를 송금해 손해를 입었다. 사기범들은 조작된 발신번호(Spoofed Caller ID)와 AI 기반 음성 복제(Voice Cloning)을 사용했는데, 이를 통해 기술에 익숙한 사람조차도 사기를 구별하기 어려운 현실을 단적으로 보여줬다.

 

심지어 최고위 공직자들도 예외가 아니다. 미국 국토안보부 장관 크리스티 노엄(Kristi Noem)의 지갑이 도난당했고, 그녀의 개인정보가 여러 건의 신용 사기 사건에 사용됐다. 이 사건으로 가중 신원 도용 혐의가 적용되기도 했다.

 

신원 범죄가 부동산, 고등 교육 등 분야로까지 확장되고 있는 것은 범죄자들이 얼마나 빠르게 적응하는지를 잘 보여준다. 은행과 소비자들이 무단 신용카드 결제나 은행 계좌 탈취 같은 전통적인 신원 사기에 대한 방어를 강화하자, 사이버 범죄자들은 감독이 덜한 취약한 영역을 노리기 시작했다.

 

ITRC(신원 도용 자원 센터)는 보고 기간 동안 허위 부동산 임대 및 대여가 102% 포인트, 허위 연방 학자금 대출이 111% 포인트 증가했다고 밝혔다.

 

동시에 디지털 서비스가 새로운 범죄의 표적으로 떠오르고 있다. 범죄자들은 이제 합성 신원(synthetic identity)이나 탈취한 자격 증명을 이용해 스트리밍 플랫폼, 앱 구독, AI 기반 소프트웨어 등에 접근하고 있으며, 신원 검증이 약한 시스템을 주로 노리고 있다. 이 같은 변화는 신원 도용이 더 이상 단순히 직접적인 금전 탈취에 그치지 않고, 여러 분야에서 접근권과 혜택을 확보하기 위한 수단으로 진화하고 있음을 보여준다.

 

이러한 범죄들은 점점 더 넓은 온라인 범죄 시장 내에서 활동하는 조직화된 집단에 의해 저질러지고 있다. 이 플랫폼들은 주로 다크웹(Dark Web)에 호스팅되며, 탈취된 신원 데이터, 위조 문서, 악성코드, AI 기반 범죄 도구들의 매매를 가능하게 한다.

 

글로벌 이니셔티브(Global Initiative)에 따르면, 2025년 현재 다크웹에는 약 30,000개의 활성 웹사이트가 존재하며, 그 중 56~60%가 범죄 활동에 연루되어 있다. 다른 사이버 보안 연구 결과도 유사한 수치를 보여준다. Market.us는 2022년에 다크웹 사이트가 약 30,000개에 달했고, 그 중 65% 이상이 불법 활동에 사용되었다고 밝혔다. 이들 사이트 상당수는 이름, 사회보장번호(SSN), 계정 정보까지 포함된 완전한 신원 프로필을 판매한다.

 

또한 이러한 범죄는 단순 소규모 범죄자에 국한되지 않는다. 종종 금전적 이득을 노리는 국제 범죄 네트워크나 국가가 지원하는 단체들이 관여하기도 한다. 이처럼 고도화된 범죄자들에 대응하기 위해서는 개인의 주의만으로는 턱없이 부족하다. ITRC는 지금 무엇보다 필요한 것은 글로벌 차원의 공조, 실시간 정보 공유, 그리고 체계적인 복원력(회복력) 구축이라고 강조했다.

 

ITRC 보고서는 이번 보고 기간 동안 전체 신원 범죄 신고 건수가 이전 기간 대비 31% 포인트 감소했지만, 사건의 심각성과 복잡성은 오히려 증가했다고 강조했다. 연방거래위원회(FTC)와 연방수사국(FBI) 산하 인터넷 범죄 신고센터(IC3) 역시 이러한 감소가 실제 범죄가 줄어서가 아니라 신고되지 않은 사례가 늘어난 결과라고 보고 있다.

 

이러한 우려를 더욱 키우는 것은 복수 형태의 신원 도용 피해를 신고한 개인 비율이 15%에서 24%로 증가했다는 점이다. 또 전체 피해자 중 거의 4명 중 1명은 계좌 탈취 후 신규 계좌 사기 개설, 세금 관련 신원 도용 등 두 가지 이상의 사건을 동시에 경험했다.

 

ITRC에 연락을 취한 사람들 중 52%는 개인정보가 오용되었고, 35%는 데이터가 유출되었다고 밝혔다. 오용 사례 중에서는 계좌 탈취(account takeover)가 53%로 가장 많았고, 그 다음으로 신규 계좌 개설(36%)이 뒤를 이었다. 금융 서비스는 여전히 가장 흔한 표적이었으며, 전체 피해자의 69%가 범죄자들이 자신의 정보를 이용해 신규 계좌를 개설하려 했다고 보도했다. 기존 계좌가 공격받은 사례도 전체의 31%에 달했다.

 

신용카드 계좌가 가장 빈번하게 공격받았으며(56%), 그 뒤를 당좌예금 계좌(14%)가 이었다. 기술 관련 계좌 탈취는 무려 754% 급증하며 폭발적으로 증가했다. 또한 Venmo, Zelle 같은 개인 간 송금 앱(P2P Payment App)에서의 계좌 탈취도 47% 늘어나, 이러한 플랫폼이 사기범들에게 점점 더 매력적인 표적이 되고 있음을 보여줬다.

 

사기범들은 신흥 시장 분야에서 상대적으로 취약한 신원 보안 방어선을 노리는 시도를 더욱 강화했다. 사기에서 자발적으로 개인식별정보(PII)를 제공하는 비율은 41% 포인트 감소했지만, 그 외의 방식으로 개인정보가 유출되는 사례는 증가했다. 특히 신체적으로 보관된 문서 도난 신고가 71% 증가했으며, 운전면허증, 사회보장카드, 결제카드, 출생증명서 등이 가장 많이 도난당한 품목이었다. 특히 출생증명서 도난 신고는 612% 폭증해, 범죄자들이 광범위한 사기를 위해 기본 신분 증명 문서를 표적으로 삼는 심각한 추세를 보여줬다.

 

전반적으로 사기는 이번 ITRC 조사에서 중심적인 문제로 남았다. 사칭 사기는 모든 신고된 사기 유형 중에서 가장 많았으며, 148% 증가해 사기 관련 신고의 34%를 차지했다. 사기범들은 주로 일반 기업(51%)이나 금융기관(21%)을 사칭했으며, 연방 및 주 정부 기관을 사칭하는 사례는 32% 감소했다. 그 밖에 구직 사기(10%), Google Voice 사기(9%), 그리고 처음으로 톨게이트 요금 사기(3%)도 보고됐다.

 

범죄자들은 사기를 위해 특정 개인식별정보(PII)를 표적으로 삼는다. ITRC 데이터에 따르면, 사회보장번호(SSN)가 탈취된 사례는 9%, 운전면허 번호 7%, 결제 및 계좌번호는 각각 4%를 차지했다. 이러한 정보를 얻기 위해 디지털 조각과 물리적 절도가 혼합되어 사용되는데, AI 기반 피싱 이메일, 가짜 웹사이트, 허위 온라인 광고가 핵심 역할을 하고 있다. 또한 실제 기업이나 기관에서 보낸 것처럼 위장한 문자와 이메일로 피해자들이 민감한 인증 정보를 스스로 입력하도록 유도하기도 한다.

 

보고서는 어떤 계층이 가장 큰 영향을 받는지 이해하기 위해 인구통계학적 패턴도 분석했다. 50세 이상 고령층이 신원 문제를 신고할 가능성이 더 높았으며, 특히 어린이는 허위 고용 사기(fraudulent employment schemes)를 통해 피해를 입는 경우가 많아 충격을 주었다.

 

소득을 공개한 피해자 중 41%는 연소득이 2만 달러 미만이었다. 이 소득 구간의 피해자들은 문서 절도, 모바일 접근 위반, 신용 사기를 더 자주 경험했다. 또한 히스패닉(Hispanic)과 아시아계(Asian) 개인은 PII 공유 사기 및 고용 사기에서 불균형적으로 큰 피해를 입었다.

 

안타깝게도 저소득층 개인들은 금융 보안 장치가 적고, 구형이거나 보안 수준이 낮은 기기를 사용하며, 다중 인증(MFA)이나 신원 보호 서비스 같은 고급 사이버 보안 도구를 이용할 가능성도 낮아 모바일 해킹이나 신용 사기의 표적이 되기 쉽다. 또한 이들은 재정 지원이나 취업 기회를 미끼로 한 피싱 시도에 더 쉽게 현혹돼, 문서 절도나 모바일 기기 무단 접근 피해가 더 자주 발생한다.

 

히스패닉과 아시아계가 PII(개인식별정보) 공유 사기나 고용 사기에서 불균형적으로 큰 피해를 입는 이유로는 언어 장벽, 정부 기관에 대한 불신 또는 낮은 친숙도, 그리고 긱(gig)·비공식 노동 시장에 더 많이 종사하는 점이 지목된다. 이로 인해 허위 구인 공고나 취약 노동자를 노린 사기에 더 많이 노출될 수 있다. 또한 사기범들은 커뮤니티 기반 소통 네트워크 같은 문화적 특성을 악용해 특정 민족 그룹 내에서 사기를 더 효과적으로 확산시키기도 한다.

 

이러한 패턴은 체계적인 취약성, 디지털 불평등, 사회적 표적화가 신원 범죄에서 어떻게 맞물려 보호 장치가 적고 노출도가 큰 사람들을 범죄자들이 쉽게 노리는지를 잘 보여준다.

 

캘리포니타, 텍사스, 플로리다에서 신원 도용 피해자가 가장 많이 발생했다. 캘리포니아는 계좌 탈취와 신규 계좌 개설에서 가장 높은 수치를 기록했으며, 텍사스에서는 모바일 기기 해킹이 가장 흔한 침해 수단이었다. 또 노스캐롤라이나와 일리노이는 데이터 유출 사건에서 상위를 차지했고, 애리조나와 일리노이는 허위 고용 사기 사례가 가장 많았다.

 

그럼에도 조심스러운 낙관론을 가질 만한 이유도 있다. ITRC는 더 많은 사람들이 실제로 피해를 입기 전에 도움을 요청하고 있다는 점을 발견했다. 문의자의 29%는 자신이 공격 대상이 되었는지 확실치 않아 상담을 요청했고, 14%는 사전에 예방 조언을 구하기 위해 연락을 해, 신원 범죄에 대한 대중의 인식이 높아지고 스스로 적극적인 조치를 취하려는 의지가 커지고 있음을 보여줬다.

 

ITRC 보고서가 주는 가장 큰 메시지는 분명하다. 신원 도용은 더 이상 고립된 문제가 아니다. 사회 모든 분야에 걸쳐 영향을 미치는 방대하고, 기술적으로 진화한 위협이다. AI가 부추기는 사칭 사기, 신분증명 문서 도난, 다층적 금융 사기 등 어떤 형태이든 그 위험은 점점 커지고 있다. 이 보고서는 경고이자 행동을 위한 로드맵으로, 철저한 경계, 보안 투자, 그리고 신원 보호의 최전선에서 싸우는 기관들에 대한 지지를 촉구하고 있다.