영국 케임브리지대 존 루젠비크(Jon Roozenbeek) 심리학과 교수가 이끄는 연구진은 2025년 12월 11일(현지시각) 국제 학술지 ‘사이언스’에 전 세계 197개국에서 운영되는 500개 이상의 유명 온라인 플랫폼에서 사용되는 가짜 계정의 인증 비용(사실상 가격)을 실시간 추적하는 플랫폼을 세계 최초로 구축했다고 공개했다.
루젠비크 교수는 최근 인터뷰에서 “봇은 온라인 플랫폼에서 특정 제품, 유명인, 정치 후보자 또는 아이디어를 마케팅하기 위해 널리 사용되고 있다”며 “우리는 가짜 콘텐츠, 인위적인 인기, 정치적 캠페인이 공공연하게 거래되는 암시장을 발견했다”고 말했다.
온라인에서 활동하는 사기꾼이나 정치적 목적이 있는 선동꾼이 전문 인증 업체를 사용해 페이스북이나 텔레그램 같은 인기 플랫폼에 여러 개의 개인 프로필을 만든다. 이런 봇 계정은 메시지를 퍼뜨리고 온라인에서 더 큰 영향력을 얻는 데 사용된다.
연구진이 이번에 공개한 케임브리지 온라인 신뢰 및 안전 지수(COTSI)는 숏폼 영상 플랫폼인 틱톡을 비롯해 아마존, 스포티파이 등 주요 온라인 플랫폼에서 가짜 계정을 생성할 때 인증 업체가 부과하는 가격을 실시간으로 보여준다. 가짜 계정을 만들려면 휴대폰 번호로 SMS(문자메시지)를 통해 전송되는 일회용 코드가 필요하다. COTSI 데이터 분석에 따르면, SMS 인증 비용은 러시아에서는 건당 0.08달러, 영국에서는 0.10달러, 미국에서는 0.25달러로 나타났다. 반면, 인증에 필요한 휴대폰 유심 카드를 확보하는 절차가 엄격한 일본에서는 4.93달러, 호주에서는 3.24달러까지 비용이 올라가는 것으로 나타났다. 플랫폼별로도 인증 비용이 다르다. 메타, X, 인스타그램, 틱톡, 링크드인, 아마존 등도 상대적으로 가짜 계정 인증 비용이 저렴한 것으로 나타났다.
반면 2025년 6월까지 전 세계 61개국에서 총선이 치러지기 한 달 전 가짜 계정을 만드는 비용이 왓츠앱에서는 15%, 텔레그램에서는 12% 상승한 것을 발견했다.
루젠비크 교수는 “이번 조사 과정에서 한국은 가짜 SMS 인증 서비스가 발견되지 않았다”며 “매우 강력한 방지 장치가 작동하는 것으로 보인다”고 말했다. 다음은 일문일답.
SMS 인증을 연구하게 된 동기는 무엇인가.
“사실 온라인에서 조작 경제에 관한 연구가 몇 건 있었는데, 많지는 않았다. 이유는 확실하지 않지만, 아마도 이 시장을 연구하고 데이터를 수집하는 것이 상당히 어렵기 때문일 것이다. 기존 연구에서 거의 다루지 않던시장 관점에서 온라인 조작, 즉 허위 정보뿐만 아니라 사기 행위를 포함한 광범위한 관점에서 이해하고자 했다.”
텔레그램과 왓츠앱 인증 비용이 선거 기간에 급등하는 이유는.
“선거를 앞두면 가짜 계정에 대한 수요가 증가한다. 텔레그램과 왓츠앱이 다른 소셜미디어(SNS)와 차별되는 점은 사용자 전화번호가 모든 사용자에게 노출된다는 점이다. 즉, 특정 국가 선거에 관한 게시물을 올리기 위해 가짜 계정을 만들려고 한다면, 해당 국가 전화번호를 사용해서 계정을 등록할 동기가 충분히 생길 수 있다. 이는 국가를 표시하지 않는 다른 SNS 앱과는 대조적이다.”
SMS 인증 생태계를 ‘그레이마켓’으로 부르는 이유는.
“지난 10년 동안 보안 프로토콜을 우회하고 가짜 계정을 대량으로 자동 생성 및 판매할 수 있는 인프라를 갖춘 불투명한 글로벌 시장이 등장했다. 개인정보 보호 솔루션을 제공한다고 주장하는 기업은 수천 개의 심 카드와 심 뱅크(실제 및 가상 모두)로 구성된 ‘팜’을 운영해 SMS 인증을 제공하고 웹 트래픽을 모바일 네트워크를 통해 우회시켜 출처를 위장하고 있다. 그렇게 생성된 정교한 봇은 수백 개의 가짜 계정을 통해 영향력 행사 캠페인을 벌일 수 있다.”
법적 틀이 불분명한 상태인것 같다.
“SMS 인증 서비스가 불법은 아니지만 대부분 플랫폼 사용 약관에는 위배된다. 예를 들어, SMS 인증 서비스를 사용해 페이스북 계정을 등록했다가 페이스북에 적발되면, 계정이 정지될 가능성이 크다. 이런 계정을 불법 목적(사기 등)으로 사용할 경우 대부분 국가에선 범죄로 간주한다. 러시아가 2025년 9월부터 자국 전화번호를 사용한 제삼자 계정 등록을 금지한 근거를 살펴보는 것도 흥미로울 수 있다.”
가짜 계정을 막을 효과적인 방안은.
“심 카드 구매 규제, 통신사 API(공개 응용 프로그램 인터페이스) 제한, 계정 출처 투명성 강화 같은 여러 방안이 있지만, 각 정책 제안의 파급효과를 신중하게 고려해야 한다. 심 카드 구매를 규제하는 건 개인정보 보호 문제를 야기할 수 있다. 또 그 효과가 기대에 미치지 못할 수도 있다.”
선거철에 COTSI가 유용할까.
“선거 관리 당국은 중요한 선거 시점에 플랫폼과 협력해 계정 등록을 모니터링하고, COTSI를 활용해 SMS 인증 가격이나 가용성 급증을 감시하면 효과적일 수 있다. 비정상적 활동 급증 가능성을 경고할 수 있다.”
한국은 SMS 인증 안전지대인가
영국 케임브리지대 사회적 의사 결정 연구소가 이번에 공개한 COTSI는 세계 197개국, 500개 이상 SNS와 상업 플랫폼에서 가짜 계정을 설정하는 데 인증 업체가 부과하는 가격을 실시간으로 추적하는 기능을 제공한다. 연구팀은 세계 최대 규모의 가짜 계정 공급 업체로부터 수집한 오픈 소스 데이터를 활용해 COTSI를 구축했다고 밝혔다. 하지만 여기엔 한국 정보가 빠져 있다. 황석진 동국대 국제정보보호대학원 교수는 그 이유로 “한국이 특별히 더 안전해서라기보다 가짜 SMS 인증 시장 자체가 성립하기 어려운 구조이기 때문으로 판단된다”고 말했다. 즉 한국이 휴대폰 개통 단계에서부터 실명 확인이 강하게 작동하고, 범죄에 자주 사용되는 대포폰이나 유심 불법 유통에 대한 단속과 처벌이 매우 강하다 보니 해외에서 흔히 볼 수 있는 ‘가짜 전화번호로 인증을 대신 받아주는’ 형태의 시장이 구조적으로 성장하기 어렵다는 것이다. 황 교수는 “실제로 국제 SMS 인증 중개 시장에서도 한국 전화번호는 거의 거래되지 않거나, 데이터가 불충분해 분석 대상에서 제외되는 경우가 많다”고 말했다.
김용대 한국과학기술원(KAIST·카이스트) 전기 및 전자공학부 교수도 유심 카드의 다량 구매가 불가능하고 전화번호를 만들려면 신원 확인 절차가 꼼꼼하다 보니 가짜 SMS 인증 사업을 하기 어려운 환경이라고 말했다. 통신사마다 선불 유심을 구매하는 데 제한이 있고 본인 인증 절차도 신분증, 신용카드나 공동 인증서에 이어 안면 인증까지 추가되면서 사실상 가짜 SMS 인증을 받기는 어렵다는 지적이다.
황 교수는 “한국은 오히려 공격 방식이 다른 방향으로 진화한 국가라고 보는 게 더 정확하다”며 “해외에서는 가짜 전화번호를 만드는 방식이 주류라면, 한국에서는 실제 사용자 휴대폰이나 계정을 탈취하는 방식(스미싱, 악성 앱 설치, 인증 번호 가로채기) 등이 주요 위협으로 작동하고 있다”고 말했다.