2024년 한 해에만 인도에서 10만 건 이상의 디지털 체포 사기가 보고되었습니다. 숫자를 처음 접했을 때 저는 솔직히 그냥 통계로 흘려들었습니다. 그런데 21박 22일간 인도를 직접 여행하면서, 그 숫자가 결코 먼 나라 이야기가 아니라는 걸 몸으로 배웠습니다.
정보 비대칭을 파고드는 사기 수법
찬디가르는 인도 내에서도 손꼽히는 부촌입니다. 계획도시로 설계된 곳이라 도로도 깔끔하고, 현지인들조차 이 도시 출신이라는 것에 자부심을 느낀다고 했습니다. 저도 솔직히 방심했습니다. '이런 데서 설마 사기를?' 하는 생각이 있었죠.
호텔에 암리차르행 버스 티켓 예매를 부탁했습니다. 그런데 출발 당일 버스에 올라타는 순간까지도 호텔 측은 티켓을 보여주지 않았습니다. 아무리 요청해도 돌아오는 말은 "티켓 없어도 탑승 가능하다"는 말 뿐이었습니다. 뭔가 이상하다 싶어 버스 안에서 외국인 탑승객에게 양해를 구하고 티켓을 확인했더니, 제가 낸 금액의 10분의 1짜리 티켓이었습니다. 나머지 돈은 호텔이 고스란히 챙긴 것이었습니다.
이게 바로 정보 비대칭(Information Asymmetry)을 악용한 사기의 전형입니다. 정보 비대칭이란 거래 당사자 중 한쪽이 정보를 훨씬 많이 가진 구조를 말하는데, 현지 사정에 어두운 여행객은 정보를 독점한 상대방에게 구조적으로 취약할 수밖에 없습니다. 사기범은 이 틈을 노리는 것입니다.
더 무서운 건 이 수법이 훨씬 정교해지고 있다는 점입니다. 최근 인도에서 급증하는 사기 유형은 사회공학적 기법(Social Engineering)을 활용합니다. 사회공학적 기법이란 기술적 해킹 대신 사람의 심리를 직접 조종해 원하는 행동을 유도하는 방식입니다. 피해자가 스스로 은행 지점을 방문해 돈을 송금하도록 만들기 때문에, 기존의 보안 시스템으로는 탐지 자체가 불가능합니다.
실제로 피해자 중에는 고학력자나 전직 고위직 출신도 상당수 포함되어 있습니다(출처: BioCatch). 이건 제가 인도에서 경험한 것과도 일치합니다. 당할 때는 몰랐습니다. 나중에 돌아보면 황당하지만, 그 순간에는 완벽하게 맥락이 짜여 있었습니다.
사기 수법을 유형별로 정리하면 크게 다음과 같습니다.
- 정보 비대칭을 활용한 요금 부풀리기 (티켓 대리 구매, 환전 등)
- 이동 중 강제 요금 추가 협박 (봉고차, 택시 등)
- 권위를 사칭한 디지털 체포 협박 (경찰, 세관 사칭)
- 계좌 확인을 명목으로 한 피싱 유도
네팔에서 인도로 내려가는 봉고 안에서 겪은 일이 딱 두 번째 유형입니다. 저희 가족끼리만 차를 빌렸는데, 출발 직전 갑자기 낯선 현지인이 올라탔습니다. 기사는 '여행 도우미'라고 했지만, 저는 처음부터 뭔가 기획된 분위기라는 느낌을 받았습니다. 그리고 한적한 길 한가운데서 차가 멈췄고, 돈을 더 내지 않으면 움직이지 않겠다는 협박이 시작됐습니다. 아이러니하게도 그 낯선 현지인이 자기가 돈을 내겠다며 협박을 막아줬습니다.
뮬 계좌와 행동 분석, 기술로 막을 수 있을까
사기로 빠져나간 돈이 결국 어디로 가는지 추적하면 반드시 등장하는 개념이 뮬 계좌(Mule Account)입니다. 뮬 계좌란 사기 피해금을 세탁하기 위해 범죄 조직이 활용하는 중간 계좌로, 명의는 타인 것이지만 실제 통제는 사기 조직이 하는 구조입니다. 문제는 이 계좌가 워낙 광범위하게 퍼져 있어서, 당국이 하나를 막으면 다른 계좌가 즉시 투입된다는 점입니다.
인도 금융 당국은 재확인 절차(Re-verification Process)를 강화하고 있는데, 이는 기존 계좌라도 주기적으로 본인 확인을 다시 받도록 하는 제도입니다. 그런데 역설적으로 사기범들이 이 절차를 그대로 흉내 내 "계좌 재확인이 필요하다"는 명목으로 새로운 피싱을 시도하는 사례도 보고되고 있습니다(출처: 인도 사이버범죄 조정센터 I4C). 규제가 오히려 사기의 소재가 되는 셈입니다.
이런 상황에서 금융기관이 주목하고 있는 것이 행동 생체인식(Behavioral Biometrics)입니다. 행동 생체인식이란 사용자의 타이핑 속도, 마우스 이동 패턴, 화면 탐색 흐름 등 행동 데이터를 실시간으로 분석해 이상 징후를 감지하는 기술입니다. 예를 들어 평소보다 입력 속도가 현저히 느려지거나, 같은 화면에서 비정상적으로 오래 머무르거나, 탐색 경로가 주저하는 패턴을 보인다면, 이는 사용자가 외부 압력을 받고 있을 가능성을 시사합니다.
단순히 비밀번호가 맞는지 확인하는 수준을 넘어, 고객이 지금 자유로운 상태에서 거래하고 있는지를 시스템이 판단하는 것입니다. 저는 이 접근 방식이 상당히 설득력 있다고 봅니다. 제가 봉고 안에서 협박을 당하던 그 순간에 만약 금융 앱을 켰다면, 평소와는 전혀 다른 행동 패턴이 나왔을 것입니다. 손이 떨렸을 테고, 입력도 느렸을 테고, 탐색도 우왕좌왕했겠죠.
물론 기술만으로 모든 것을 해결할 수는 없습니다. 제가 인도에서 겪은 사기들은 앱이나 계좌가 아니라 대면 상황에서 벌어졌으니까요. 결국 사회 전반의 윤리 의식이 바뀌지 않으면, 기술은 뒷북을 칠 수밖에 없습니다. 인도 고유의 문화와 역사, 볼거리는 정말 대단합니다. 그런데 여행하는 내내 마음이 긴장 상태를 유지해야 했고, 귀국 즈음에는 인심이 많이 메말라 있었습니다. 외국인을 상대로 한 이런 기만행위가 결국 관광 수입 감소로 이어진다는 것을, 인도 사회가 진지하게 받아들였으면 합니다.
인도 금융 사기의 현실은 단순히 '조심하면 된다'는 차원이 아닙니다. 고학력자도 속고, 부촌 호텔도 사기를 칩니다. 개인 차원의 경각심과 함께, 금융기관의 지능형 탐지 시스템이 동시에 작동해야 실질적인 피해를 줄일 수 있습니다. 인도 여행을 계획하고 있다면 현지 티켓 가격은 반드시 직접 확인하고, 이동 수단은 출발 전 조건을 명확하게 문서화하는 것을 권합니다.
*이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 금융 또는 법률 조언이 아닙니다.
참고: https://www.biocatch.com/blog/india-fraud-epidemic-what-can-be-done