구글, 대규모 문자 스미싱 조직 상대로 법적 대응 착수
구글이 대규모 SMS 피싱(‘스미싱’) 작전을 주도한 해외 사이버범죄 조직을 상대로 소송을 제기했다고 밝혔다. 이 조직은 일부 사이버 보안 연구자들 사이에서 ‘스미싱 트라이어드(Smishing Triad)’로 불리며, 피싱-애즈-어-서비스(Phishing-as-a-Service) ‘라이트하우스(Lighthouse)’라는 툴킷을 통해 브랜드를 사칭한 문자와 가짜 웹사이트를 대량 생성해 공격을 전개해 온 것으로 알려졌다.
2025년 11월 12일, CNBC뉴스의 보도에 따르면, 구글은 해당 범죄조직이 E‑ZPass와 미국 우정공사(USPS), 그리고 구글 자체 브랜드에 대한 신뢰를 악용해 사용자 정보를 탈취했다고 지적했다. 구글 측은 이번 소송을 통해 조직의 인프라와 라이트하우스 플랫폼을 해체하는 것을 목표로 한다고 밝혔다.
구글은 보도자료에서 이 범죄조직이 전 세계 120개국에서 100만 명이 넘는 피해자를 양산했다고 설명했다. 또한 이들은 미국 내에서만 약 1,270만 장에서 최대 1억 1,500만 장의 신용카드를 탈취했을 가능성이 있다고 밝혔다. 피해 확산의 핵심 도구로 지목된 라이트하우스는 템플릿 기반으로 가짜 로그인 화면과 결제 페이지를 빠르게 만들어 배포할 수 있는 키트다.
주요 발언과 소송 근거
구글 최고법률책임자(General Counsel) 할리마 드레인 프라도(Halimah DeLaine Prado)는 CNBC와의 인터뷰에서 다음과 같이 말했다.
“그들은 E‑ZPass, 미국 우정공사(USPS), 심지어 구글과 같이 신뢰받는 브랜드를 악용해 사용자를 속였습니다. ‘라이트하우스’라는 엔터프라이즈형 소프트웨어는 가짜 웹사이트 템플릿을 대량으로 만들어 사용자 정보를 탈취하도록 설계돼 있습니다.”
구글은 이번 소송에서 연방 조직범죄 처벌법(RICO), 랜햄법(Lanham Act), 컴퓨터사기남용방지법(CFAA)을 근거로 청구를 제기했다. 회사는 법적 수단을 통해 범죄조직과 라이트하우스 플랫폼의 해체를 추진하고, 유사 범죄의 억제 및 재발 방지를 도모한다는 방침이다.
공격 수법: ‘가짜 경보’와 ‘급박성’의 악용
구글에 따르면 해당 조직의 문자 메시지에는 악성 링크가 포함돼 있으며, 사용자를 사회보장번호(SSN), 은행 로그인 정보 등 민감한 금융정보를 훔치도록 설계된 가짜 사이트로 유도한다. 메시지는 주로 사기 경보, 배송 업데이트, 미납된 정부 수수료 통지 등 긴박감을 조성하는 형태로 위장된다.
구글은 로그인 화면에 구글 로고와 디자인을 모방한 100개 이상의 웹사이트 템플릿을 라이트하우스에서 확인했다고 밝혔다. 이러한 모방은 피해자가 사이트의 진위를 의심하기 어렵게 만들어, 신뢰의 착각을 유도한다.
조직 구조와 운영: 데이터 브로커·스패머·절취팀의 분업
내부 및 외부 조사 결과, 약 2,500명의 조직 구성원이 공개 텔레그램( Telegram ) 채널에서 서로 소통하며, 신규 모집·운영 팁 공유·소프트웨어 테스트 및 유지보수를 진행한 정황이 확인됐다고 구글은 전했다. 프라토는 조직 내부에 다음과 같은 분업 구조가 존재했다고 설명했다.
- 데이터 브로커 그룹: 잠재적 피해자와 연락처 목록을 공급
- 스패머 그룹: SMS 발송을 전담
- 절취(도난) 그룹: 확보한 자격증명으로 실제 탈취 행위를 조율
이와 같은 산업화된 분업 체계는 스미싱의 확장성과 속도를 크게 높이며, 짧은 시간에 광범위한 피해를 양산하는 요인이 된다.
정책·입법 연계: 구글, 초당적 3개 법안 지지
구글은 SMS 피싱 범죄에 대해 법적 조치를 취한 첫 민간 기업이라고 강조하며, 사기 및 사이버 공격으로부터 대중을 보호하기 위한 초당적 3개 법안을 공개 지지했다. 프라도는 다음과 같이 말했다.
“소송은 우리가 이 위협을 교란할 수 있는 한 가지 축입니다. 그러나 이러한 사이버 활동은 정책 기반 접근이 병행돼야 한다고 봅니다.”
구글이 지지한 법안은 다음과 같다.
- GUARD 법안 (Guarding Unprotected Aging Retirees from Deception Act): 고령층 은퇴자를 사기로부터 보호
- Foreign Robocall Elimination Act: 해외 불법 로보콜을 겨냥한 태스크포스를 설치
- Scam Compound Accountability and Mobilization Act: 사기 컴파운드를 겨냥하고, 그 안에서 발생하는 인신매매 피해자 지원을 포함
보호 조치와 최신 기능: 메시지 보안 강화
이번 소송은 사용자 사이버 보호 인식 제고를 위한 구글의 광범위한 전략 일부다. 회사는 최근 구글 메시지(Google Messages)에 인공지능 기반 스팸 탐지를 적용하고, 키 검증(Key Verifier) 도구를 포함한 더 많은 안전 기능을 도입했다고 밝혔다. 이러한 기능은 발신자 신뢰성 확인과 의심 메시지의 자동 분류에 도움을 주도록 설계됐다.
용어 설명: 스미싱·PhaaS·주요 법률
스미싱(Smishing)은 SMS(문자메시지)와 피싱(Phishing)의 합성어로, 문자로 악성 링크를 전송해 사용자가 가짜 사이트에 개인정보를 입력하도록 유도하는 사기 수법이다. 피싱-애즈-어-서비스(PhaaS)는 피싱 인프라를 서비스 형태로 제공해, 공격자가 손쉽게 템플릿·호스팅·전달 채널 등을 이용해 대규모 공격을 벌이도록 돕는 범죄 생태계를 뜻한다.
RICO법은 조직범죄를 겨냥한 미국 연방법으로, 범죄단체의 지속적 범죄행위에 대해 민사·형사상 책임을 묻는 틀을 제공한다. 랜햄법은 상표권과 출처의 혼동을 유발하는 불공정 경쟁을 규율하며, CFAA는 무단 컴퓨터 접근 및 데이터 탈취 등 컴퓨터 사기·남용에 대한 처벌 근거가 된다.
분석: 구글의 전략적 포지셔닝과 파급효과
첫째, 민사 소송의 선택은 국경을 넘나드는 사이버범죄의 특성상 형사 집행의 제약을 보완하려는 시도로 해석된다. RICO·랜햄법·CFAA를 결합한 청구는 브랜드 사칭과 불법 접근, 조직적 범죄라는 세 축을 한 번에 포섭해, 금지명령(injunction)과 자산 동결, 도메인·인프라 차단 같은 구체적 구제수단을 노릴 수 있다.
둘째, 라이트하우스와 같은 PhaaS 생태계를 ‘플랫폼’으로 지목한 점은, 개별 공격자 처벌을 넘어 공급망 차단을 목표로 한다는 신호다. 템플릿과 전달 시스템이 붕괴되면 공격의 재현성과 규모의 경제가 약화될 가능성이 크다.
셋째, 정책 연계는 기업 단독 대응의 한계를 보완하는 장치다. 특히 해외 로보콜 태스크포스 설치와 같은 제도화는, 국경 간 사기 네트워크에 대한 협력을 제도권으로 끌어들이는 효과가 기대된다. 고령층 보호 법안(GUARD)의 지지는 피해 취약계층에 대한 세분화된 보호 필요성을 반영한다.
넷째, 브랜드 모방 템플릿 100개+ 발견과 120개국·100만+ 피해라는 수치는 사기 작전이 언어·지역을 가리지 않고 확산했음을 보여준다. 범죄조직의 데이터 브로커–스패머–절취팀 분업은, 오늘날 사이버사기가 더 이상 개별 해커의 영역이 아니라 산업화된 공급망으로 진화했음을 시사한다.
사용자에게 유용한 체크포인트
의심스러운 ‘긴급’ 문자는 링크를 누르지 말고, 반드시 공식 앱 또는 웹사이트를 통해 확인하는 것이 안전하다. 배송·요금·계정잠금 안내가 올 경우, 문자 내 링크 대신 해당 기관의 직접 접속 경로로 확인해야 한다. 또한 2단계 인증 활성화와 구글 메시지의 AI 스팸 탐지를 포함한 보안 기능 사용은 피해 가능성을 낮출 수 있다.
향후 전망
이번 소송의 성패와 무관하게, 구글의 조치는 대형 기술기업이 스미싱 생태계를 직접 겨냥하는 선례를 확장할 것으로 보인다. 유사 소송의 도미노와 함께, 도메인 등록기관·호스팅사·메시징 게이트웨이에 대한 책임 분담 논의도 가속화될 수 있다. 또한 사용자 측면에서는 보안 기능의 기본값 강화, 브랜드 측면에서는 피싱 대응 템플릿의 표준화가 확산될 가능성이 있다.
핵심 사실 요약
• 구글은 중국 기반으로 알려진 스미싱 트라이어드를 상대로 소송을 제기했고, RICO·랜햄법·CFAA를 근거로 라이트하우스 플랫폼의 해체를 노린다.
• 조직은 120개국에서 100만+ 피해자를 만들었고, 미국에서만 1,270만~1억1,500만장의 신용카드가 도난당했을 가능성이 제기됐다.
• 100개+의 구글 사칭 로그인 템플릿이 발견됐고, 텔레그램 공개 채널에서 2,500명 규모의 활동이 파악됐다.
• 구글은 GUARD Act, Foreign Robocall Elimination Act, Scam Compound Accountability and Mobilization Act 등 3개 초당적 법안을 지지했다.
• 구글은 키 검증 도구와 AI 스팸 탐지 등 안전 기능을 구글 메시지에 도입했다.
