AI 음성 복제 기술이 빠르게 확산되면서 가족이나 지인을 사칭한 보이스피싱 범죄가 새로운 사회적 위협으로 떠오른 가운데, 구글이 발신번호 조작 여부를 실시간으로 확인하는 새로운 보안 기능을 선보였다. 금융기관 사칭을 넘어 가족과 지인까지 노리는 AI 기반 음성사기에 대응하기 위한 안드로이드 보안 기능이 본격적으로 확대되는 모습이다.
구글은 안드로이드 운영체제에서 업계 최초로 '가짜 전화 감지(Fake Call Detection)' 기능을 도입한다고 밝혔다. 기능은 '구글 전화(Phone by Google)' 앱을 사용하는 이용자를 대상으로 제공되며, 발신번호가 조작된 것으로 의심되는 통화를 감지해 이용자에게 즉시 경고를 전달한다.
이번 기능은 최근 공개된 금융 전화 인증 기능의 적용 범위를 한 단계 넓힌 사례다. 금융기관을 사칭하는 범죄뿐 아니라 가족과 친구, 직장 동료 등 신뢰 관계를 악용하는 사칭 범죄까지 대응 대상으로 포함했다.
최근 보이스피싱 조직은 인터넷 기반 통신 기술을 활용해 발신번호를 조작한 뒤 AI 음성 복제 기술을 결합하는 방식으로 범죄를 고도화하고 있다. 전화 화면에는 실제 가족이나 지인의 이름과 번호가 표시되고, 통화에서는 실제와 구분하기 어려운 목소리가 흘러나와 긴급한 상황을 연출하는 방식이다.
구글은 발신자 표시만으로 상대방을 신뢰하기 어려운 환경이 만들어졌다고 설명했다. 이용자들이 모르는 번호의 전화를 받지 않는 경향이 강해지면서 범죄 조직도 신뢰할 수 있는 번호를 사칭하는 방향으로 수법을 바꾸고 있다는 분석이다.
실제로 2026년 3월 국제형사경찰기구(INTERPOL)가 발표한 글로벌 금융범죄 위협 평가에서는 사칭 사기가 전 세계적으로 약 4,000억 달러 이상의 피해를 발생시킨 주요 금융범죄 가운데 하나로 지목됐다.
미국 연방거래위원회(FTC) 역시 사칭 사기를 가장 빈번하게 접수되는 사기 유형 가운데 하나로 분류하고 있다. 2024년 한 해 동안 신고된 피해 금액은 약 29억5,000만 달러에 달했다.
가짜 전화 감지 기능의 핵심은 발신번호 자체가 아니라 실제 발신 기기를 확인하는 방식이다.
양측 모두 '구글 전화' 앱을 사용할 경우, 통화가 시작되는 순간 상대방 기기가 무음 인증 신호를 전송해 실제 해당 기기에서 전화가 발신됐는지를 확인한다. 구글은 이 과정을 '디지털 악수(Digital Handshake)'라고 설명했다.
인증 절차는 차세대 메시징 표준인 RCS(리치 커뮤니케이션 서비스)를 기반으로 동작하며, 종단간 암호화(E2EE)가 적용돼 인증 과정에서 개인정보는 보호된다고 밝혔다.
반대로 발신번호만 조작한 사기 전화라면 정상 인증 신호가 전달되지 않는다. 이 경우 이용자의 기기는 실제 번호를 가진 상대방 기기에 추가 확인을 요청한다. 상대 기기가 현재 전화를 걸고 있지 않다는 응답을 보내면 이용자 화면에는 해당 통화를 종료하라는 경고가 표시된다.
구글은 발신번호 조작과 AI 음성 딥페이크가 결합된 사기 방식에 대응하기 위해 실시간 검증 절차를 적용했다고 설명했다.
가짜 전화 감지 기능은 이번 달부터 Pixel 스마트폰을 시작으로 순차 배포된다. 대상은 안드로이드 12 이상을 사용하는 기기 가운데 '구글 전화' 앱을 사용하는 이용자다. 많은 안드로이드 스마트폰에서는 이미 해당 앱이 기본 전화 앱으로 제공되고 있으며, 다른 전화 앱을 사용하는 경우에도 구글 플레이스토어에서 설치한 뒤 기본 전화 앱으로 변경하면 기능을 사용할 수 있다.
기능은 기본적으로 활성화된 상태에서 동작하지만, 이용자가 원할 경우 설정 메뉴에서 언제든 비활성화할 수 있다.
구글은 특정 기기나 특정 서비스에만 보안 기능이 머물러서는 안 된다는 점도 강조했다.
가짜 전화 감지 기능은 개방형 표준인 RCS를 기반으로 개발됐으며, 다른 스마트폰 제조사나 통화 애플리케이션 개발사도 같은 기술을 활용할 수 있도록 지원할 계획이다. 시장 전체의 보안 수준을 끌어올리는 방향을 선택했다는 의미다.
구글은 이미 다양한 사기 방지 기술을 운영하고 있다. '구글 메시지'에서는 AI 기반 사기 문자 감지 기능을 제공하고 있으며, Pixel과 삼성 일부 기기에서는 사기 전화 감지 기능도 지원한다. 지메일은 BIMI(브랜드 식별 메시지 인증)를 통해 발신 기업을 검증하고 있으며, 기업용 RCS 서비스에서도 발신자 인증 기능을 제공하고 있다. 네트워크 차원의 발신번호 인증 기술인 STIR/SHAKEN 도입도 여러 국가에서 지원해 왔다.
다만 새 기능이 제대로 작동하려면 통화 당사자가 모두 '구글 전화' 앱을 사용해야 한다는 점은 초기 확산 과정에서 한계로 꼽힌다. 다른 통화 앱이나 일부 제조사의 자체 전화 앱을 사용하는 환경에서는 동일한 수준의 인증이 어려울 수 있다. 향후 제조사와 앱 개발사의 참여가 확대될수록 보호 범위도 넓어질 것으로 전망된다.
AI 기술이 보이스피싱 범죄를 한층 정교하게 만들고 있는 상황에서, 통화 단계에서 발신자의 신원을 추가 검증하는 기술은 스마트폰 보안의 새로운 기준이 될 가능성을 보여주고 있다. 동시에 이용자 보호 효과를 높이기 위해서는 운영체제 사업자뿐 아니라 이동통신사와 단말기 제조사, 통화 앱 생태계 전반의 협력이 뒤따라야 한다는 지적도 나온다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.