온라인 피싱, 이용자와 플랫폼의 ‘협력적 대응’ 필요

‘보이스 피싱’에서 ‘온라인 피싱’으로

사기(詐欺, Fraud)는¹ 남을 속여 재물이나 재산상의 이득을 빼앗는 행위, 즉 ‘편취(騙取)’를 말한다. 문헌으로 확인되는 사기의 역사는 로마 시대로까지 거슬러 올라가지만, 절도죄나 강도죄가 비교적 오랜 역사를 가진 범죄라면 사기죄는 19세기 이후 자본주의사회가 형성된 이후에 본격적으로 형사처벌되기 시작한 범죄라고 한다.²

사기는 ‘타인을 속이는 것’을 본질로 하므로 사회가 발전하고 기술이 발달함에 따라 사기의 수법과 유형 또한 점점 교묘해질 수밖에 없다. 대표적으로 우편 시스템과 대면 거래를 토대로 1920년대 폰지 사기(ponzi scheme)가 등장하였고, 1990년대 중반 이후 ICT를 활용한 비대면 금융거래 환경이 본격화되면서 보이스 피싱(voice phishing)이 출현하였다면, 현재 사회적 문제로 대두되는 사기 수법은 얼굴이 알려진 방송인, 연예인, 정치인 등 소위 ‘유명인’을 사칭하여 SNS, 채팅방, 단톡방, 밴드 등을 개설하고 이를 통하여 각종 사기를 저지르는 ‘온라인 피싱’이다. 온라인 피싱의 수법이나 유형은 너무도 다양하여 일일이 열거하는 것이 불가능할 정도이지만, 가장 널리 알려진 온라인 피싱 유형은 유명인을 내세워 주식, 코인 등에 투자할 경우 고수익을 보장하겠다고 허위로 광고하고 이를 미끼로 다수의 피해자로부터 투자금을 편취(篇聚)하는 ‘투자 리딩방’이 아닐까 한다.³ 투자 리딩방 사례로만 한정해 보더라도, 최근 6개월간 투자 리딩방 투자 사기 피해액은 2,300억 원에 달한다고 알려졌다.⁴ 온라인 피싱 범죄가 워낙 횡행하다 보니 유재석 등 유명 연예인 137명이 2024.3. ‘유사모(유명인 사칭 온라인 피싱 범죄 해결을 위한 모임)’를 결성하여 온라인 피싱 범죄 해결을 촉구하는 기자 회견을 열었고, 방송통신위원회는 2024.4.8.자로 제1호 ‘이용자 피해주의보’를 발령하기도 하였지만, 이러한 노력만으로는 온라인 피싱 범죄가 근절되지 않을 것이라는 점은 불 보듯 뻔한 일이다. 오히려 생성형 AI, 딥페이크(deep fake), 가상 인간(virtual human)과 같은 기술이 하루가 다르게 발전하고 있음을 감안해 보면, 적어도 온라인 피싱 범죄 수법의 ‘기술적 장벽’은 사실상 극복된 시대라는 점은 부인할 수 없고, 그렇다면 온라인 피싱 범죄가 감소할 가능성보다는 더욱 기승을 부릴 가능성이 더 높을 것으로 생각된다.

이용자가 알아서 조심하고 대응하라?

온라인 피싱은 사기가 이루어지는 장(場)이 시공간의 제약을 받지 않고 불특정 다수를 손쉽게 모집할 수 있는 사이버 공간이라는 특성상 짧은 시간 안에 다수의 피해자를 양산하고 있음에도 불구하고 피해자의 손해 회복이나 가해자의 처벌 등이 어렵다는 문제점을 안고 있다. 가해자가 누구인지 특정하기 어렵고, 설령 가해자가 특정된다고 하더라도 이들을 체포, 구속하거나 법정에 세워 법적 책임을 물리는 것 또한 현실적으로 불가능한 경우가 많다. 이러한 점은 과거 보이스 피싱때도 마찬가지 상황이었지만, 보이스 피싱의 경우에는 「전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법」(이하 ‘통신사기피해환급법’)이 2011.3. 제정된 이래 수 차례 개정되면서 의심거래 계좌에 대하여 신속한 거래정지 및 지급정지 조치, 피해환급금의 신속한 지급, 형사처벌 강화와 같이 보이스피싱 범죄의 사전 예방 및 사후 구제 조치가 일정 부분 법정화되어 있다. 그러나 온라인 피싱의 경우에는 통신사기피해환급법이 적용되기 어려운 경우가 상당하며, 사고 예방 및 피해 구제에 적합한 ‘맞춤형’ 법률의 제정 또한 아직 이루어지지 않은 상황이다.

결국 인터넷 이용자(이하 ‘이용자’)가 ‘알아서’ 온라인 피싱 사기에 넘어가지 않도록 조심하는 한편, 피싱 범죄의 피해를 입은 경우에도 ‘알아서’ 법적 대응을 할 수밖에 없는 것이 현실이다. 최근 정부가 발표한 관련 대책 또한 사실 이용자의 자발적 주의와 대응을 강조하는 내용이라고 생각된다. 몇 가지 소개하면 다음과 같다.

<방송통신위원회>⁵

ㆍ고수익 보장, 유명인 투자 후기 등 허위과장광고에 현혹되지 말 것! ㆍ해당 금융업체가 금융감독원에 정식 신고된 업체인지 반드시 확인! ㆍ불법행위 확인 및 피해 발생 시 금융감독원6 및 경찰서에7 신고!

<경찰청>⁸

ㆍ문자ㆍSNS로 투자를 권유하는 것은 무조건 의심해야 하며, ㆍ고수익을 운운하는 것은 피해자의 어려운 경제 상황을 악용하는 전형적인 사기 수법이며, ㆍ어디에도 무조건 안전한 투자란 없다

“고수익 투자 권유는 무조건 조심”해야 하고, “사기 피해를 당하면 경찰서 등에 신고”하는 것을 모르는 국민은 아마도 없을 것이다. 기존의 피해자들이 이러한 사실을 ‘이성적’으로 ‘몰라서’ 사기를 당하였겠는가? 이성을 마비시키고 때로는 이성을 뛰어넘기도 하는 감정의 영역, 즉 손쉽게 부자가 되고 싶다는 ‘유혹’을 이기지 못하였기 때문일 것이다. 그리고 유혹을 쉽사리 떨쳐내지 못하는 것이 오히려 ‘사회평균적인 일반인’의 모습이자 인간의 본성에 가까운 모습이라고 생각한다. 그리고 온라인 피싱 범죄자들은 이러한 인간의 심리를 교묘하게 이용하는 데 ‘도’가 튼 사람들이다. 이러한 상황에서 이용자가 알아서 ‘조심’하고 ‘대응’하라는 취지의 정부 정책은 ‘당연하지만 지키기 어려운 원칙’을 반복한 수준을 벗어나기 어려우며, 자칫하면 이용자에게 사기 범죄 예방 책임을 모두 지우는 것처럼 비추어질 수도 있으므로, 바람직하다고는 생각하지 않는다.

플랫폼 차원의 대응 필요

온라인 피싱 범죄는 SNS, 채팅, 메신저, 동영상 공유 등 인터넷 그 자체가 아니라 인터넷 위에서 작동하는 특정 플랫폼의 ‘서비스’에 터 잡아 이루어지는 것이 일반적이다. 따라서 온라인 피싱 범죄를 사전 예방하는 효과적인 방안은 ‘이용자 단계’에서의 예방이 아니라 이용자에게 온라인 피싱 콘텐츠가 전달되기 전 단계인 ‘플랫폼 단계’에서의 예방이 될 수 있다. 예를 들어 온라인 피싱 콘텐츠가 애초부터 SNS나 채팅방 등에 게시되지 않도록 하거나, 일단 게시되었다 하더라도 이를 플랫폼이 적발하여 불특정 다수에게 전달되지 않도록 차단하는 방안 등을 생각해 볼 수 있다.

이와 관련하여 구글, 메타 등 글로벌 플랫폼 기업은 자체 정책이나 규정 등을 통하여 서비스상에서 타인을 사칭하거나 허위 사실을 게시하여 타인을 기망하는 경우를 금지하며 이를 위반할 경우 해당 계정을 삭제하거나 사용 정지를 시키고 있다. 국내의 경우에도 N사, K사 등 국내를 대표하는 플랫폼 기업은 이와 유사한 조치를 취하고 있다. 일례로 구글과 N사의 관련 정책은 다음과 같다.

<구글 광고 정책>

영문

국문

Misrepresentation9   The following is not allowed:   Scamming users by concealing or misstating information about the advertiser’s business, product, or service Examples (non-exhaustive):   ㆍ Enticing users to part with money or personal information by impersonating or falsely implying affiliation with, or endorsement by, a public figure, brand, or organization ㆍEnticing users to part with money or information through a business that lacks the qualifications or capacity to provide the advertised products or services ㆍ False advertising of services that could endanger a user’s health, life, or safety; pretending to provide critical services that result in a delay to the user receiving treatment or medical help

부실표시  다음은 허용되지 않습니다.  광고주의 비즈니스, 제품, 서비스에 대한 정보를 은폐하거나 허위 정보를 제공하여 사용자를 속이는 경우 일부 일부 예: , ㆍ공인, 브랜드, 조직과의 제휴 또는 이들의 지위를 사칭하거나 허위로 암시하여 사용자가 금전이나 개인 정보를 제공하도록 유도 ㆍ광고된 제품 또는 서비스를 제공할 자격이나 역량이 부족한 비즈니스를 통해 사용자가 금전이나 정보를 제공하도록 유도   ㆍ사용자의 건강, 생명 또는 안전을 위협할 수 있는 서비스에 대한 허위 광고를 통해 중요한 서비스를 제공하는 것으로 가장하여 사용자가 치료 또는 의료 지원을 받는 일이 지체되는 결과 초래

<N사 밴드 정책>

이용제한 사유에 해당하는 사칭 계정 및 사칭 밴드의 기준   ㆍ특정 인물 또는 특정 집단으로 오해의 소지가 있는 프로필 정보(프로필명, 프로필 이미지 등), 밴드 소개(밴드명, 소개글, 이미지 등)를 작성한 경우 ㆍ권리자의 허가를 받지 않은 이미지 또는 도난당한 이미지를 사용해 사칭을 시도한 경우 ㆍ다른 사람을 속이려는 명백한 목적으로 이미지 혹은 명의를 사용한 경우 ㆍ밴드의 소유권 또는 관리에 대해 사용자의 오해를 불러일으켜 목적을 숨기는 밴드

이처럼 온라인 피싱과 관련하여 플랫폼이 완전히 손을 놓고 있는 것은 아니며, 플랫폼은 자체 정책이나 규정 등에서 온라인 피싱 행위를 금지하고 있고, 이를 위반할 경우 해당 플랫폼에서 ‘퇴출’시키고 있다는 점에는 별다른 의문이 없다. 그러나 문제는 퇴출시키기 전 단계, 즉 플랫폼이 온라인 피싱 사실을 어떻게 인지할 것인가에 있다. 물론 플랫폼에게 온라인 피싱을 100% 적발해야 할 법적인 의무가 인정되기는 어렵다. 그러나 플랫폼이 온라인 피싱 사실에 관하여 단순히 이용자의 ‘신고’에만 의존하거나, 그렇지 않더라도 온라인 피싱 방지를 위하여 현 수준에서 가능한(혹은 규범적으로 요구되는) 기술적ㆍ경제적인 적절한 조치를 취하지 않는다면, 경우에 따라서는 플랫폼에게도 온라인 피싱 범죄를 방지하지 않았다는 이유로 민사상 손해배상책임(법률적으로 ‘부작위에 의한 방조책임’)이 성립할 수 있다.¹⁰ 특히 인공지능 기술이 급속히 발전하고 있다는 점을 고려하면, 사견으로는 플랫폼에서 유통되는 정보 중 온라인 피싱 정보가 있는지에 관하여 인공지능에 기반한 자동화되고 고속화된 모니터링이 기술적, 경제적으로 충분히 가능하다고 평가될 수 있는 시점이 그리 멀지 않았다고 생각한다. 요컨대, 온라인 피싱 범죄 방지에 관하여 현행 법리 하에서도 ‘이용자’가 아닌 ‘플랫폼’의 책임이 단순히 도의적 차원이 아닌 법적 차원에서 중요하게 부각될 수 있다고 본다.

참고로 우리와 달리 플랫폼에서 유통되는 정보에 관하여 플랫폼에게 광범위한 면책을 인정하는 ‘통신품위유지법’(Communications Decency Act, ‘CDA’)을¹¹ 시행 중인 미국에서도 유튜브에서 비트코인 사기를 치면서 애플 창업자인 워즈니악(Wozniak)의 모습을 조작한 영상을 사용한 사건과 관련하여 워즈니악이 구글 및 유튜브를 상대로 제기한 손해배상소송에서 캘리포니아주 항소법원은 2024. 3. 15. 구글과 유튜브의 CDA상 면책 주장을 부정하는 취지로 판결하였다.¹² 즉, CDA라는 성문의 ‘플랫폼 면책 법률’을 시행중인 미국에서도 온라인 피싱 범죄에 대하여 플랫폼에게 일정 부분 책임을 묻는 취지의 판결이 선고되었다는 점에서 우리도 주목할 필요가 있다.

1. 로마법상 사기는 ‘stellionatus’이다. stallionatus는 원래 일종의 도마뱀(혹은 도룡뇽?)인데, 불한당이나 사기꾼을 의미하는 속어였던 stellio에서 유래한 법률용어였다. 최병조, “로마형법상의 사기 범죄”, 서울대학교 법학 제48권 제3호(2007. 9.), 4쪽. [본문으로]
2. 오영근, 『형법각론』, 대명출판사(2007), 445~446쪽; 일례로 조선 시대의 대명률(大明律)은 형률(刑律) 권 24에 사위(詐僞)에 관한 규정을 두고 있지만, 이는 오늘날의 사기죄와는 다소 거리가 먼, 주로 문서위조나 관직 사칭을 처벌하는 규정이었다. 치안정책연구소, “사기범죄의 대책에 관한 연구”, 2009. 12., 4쪽. [본문으로]
3. 주식이나 코인에 대해 전문 지식이 부족한 초보 투자자들을 이끌어 준다는 의미에서 ‘리딩(leading)’이라는 용어가 사용되고 있다. [본문으로]
4. KBS 2024. 5. 21.자 뉴스, “가짜 투자리딩방’ 피해 6달 동안 2,300억…피해구제 왜 어렵나”, https://news.kbs.co.kr/news/pc/view/view.do?ncd=7968793 [본문으로]
5. 방송통신위원회, “유명인ㆍ가족 등 사칭, 절대 돈 보내지 마세요”, 2024. 4. 8.자 보도자료, 2쪽. [본문으로]
6. 금감원 홈페이지(www.fss.or.kr) → ｢민원 · 신고｣→ ｢불법금융신고센터｣→ ｢유사투자자문피해신고｣ [본문으로]
7. 사이버범죄신고시스템(ecrm.police.go.kr) → ｢신고하기｣ [본문으로]
8. 경찰청, “국가수사본부 「투자리딩방 불법행위」 특별단속”, 2023. 9. 25.자 보도자료, 3쪽. [본문으로]
9. 미국법에서 부실표시(misrepresentation)란 ‘잘못된 정보의 전달’ 혹은 ‘사실과 일치하지 않는 주장’을 말한다. 부실표시가 사기적(fraudulent)이거나 중대(material)한 경우 부실표시에 터잡은 계약이 무효가 되거나 불법행위(tort)에 해당할 수 있다. 권영준ㆍ조인영 편저, 『미국사법의 이해』, 박영사(2023), 353-355쪽. [본문으로]
10. 대법원 2019. 2. 28. 선고 2016다271608 판결 등 참조. [본문으로]
11. 47 U.S.C. §230 (c) (1) Treatment of publisher or speaker

    No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider. [본문으로]

12. Wozniak et al. v. Youtube et al., Santa Clara County Super. Ct. No. 20CV370338(H050042), 2024. 3. 15. [본문으로]