전 세계 신원 사기 시장에서는 2024~2025년 사이 공격 양상이 급격하게 변화하고 있다.

AI·자동화·다단계 사기가 결합하며 급변하는 글로벌 신원 범죄 양상

AI·자동화·다단계 사기가 결합하며 글로벌 신원 범죄 양상이 급변하고 있다. 신원 확인 및 사기 방지 솔루션기업 섬섭(Sumsub)이 2024년부터 2025년까지 수백만 건의 신원 확인과 400만 건 이상의 사기 시도를 분석한 ‘신원 사기 보고서 2025-2026’을 발표했다.

보고서에 따르면 전체 사기율은 2.6%에서 2.2%로 소폭 감소했으나, 이는 단순 감소가 아닌 ‘위장된 안정화’로 이해해야 한다는 점이 자료에서 확인된다. 실제로 공격자는 단일 단계의 단순 사기에서 벗어나 다단계 구조, 교차 채널 조작, 자동화 툴을 결합한 복합 모델로 움직이고 있으며, 2024~2025년 동안 고품질 공격이 180% 증가했다는 사실은 이러한 변화가 심화되고 있음을 보여준다.

생성AI 기반 위조 문서 제작 도구, 기성 툴킷, 사기 방지 서비스(FaaS)의 확산은 기술숙련도가 낮은 공격자에게도 접근성을 열었고, 이로 인해 사기 ‘대중화’가 일어난 것이 자료의 핵심이다.

특히 2025년부터는 공격자가 시각적 위조 능력을 넘어 SDK·API·장치 원격 측정 등을 교란하는 방식으로 전환하고 있으며, 구글 베오(Google Veo) 3.1과 오픈AI 소라(OpenAI Sora) 2 등 초현실적 영상 생성 기술의 고도화는 위조 콘텐츠 탐지 난이도를 더욱 높이고 있다.

보고서는 이러한 환경에서 사기 범죄가 단일 행위에서 벗어나 ‘자동화·오케스트레이션·교차 채널’을 결합한 산업화 형태로 확대되고 있음을 강조한다. 2025년 응답자의 75%가 “사기가 점점 더 AI 중심으로 변한다”고 답한 이유가 여기에 있다.

기업·플랫폼·규제기관 모두 기존 단일 신원 확인만으로는 대응할 수 없으며, 지속 평가·행동 분석·장치 원격 측정 기반의 적응형 검증 체계로 이동해야 한다는 시장 트렌드가 명확하게 드러난다.

정교화 전환(Sophistication Shift)의 실태

① 글로벌 사기 증가 양상과 데이터 기반 변화

2024년 대비 2025년 ‘정교한 사기’는 180% 증가했으며, 다단계 공격 비중은 10%에서 28%로 대폭 확대됐다. 합성 신원(21%), 환불 남용(16%), 애플리케이션 사기(14%), 딥페이크 기반 위조(11%), 자금 운반책(11%)이 가장 흔한 1차 사기로 나타났다.

제3자 사기에서는 신원 도용이 28%로 가장 높았고, 계정 인수(19%), 카드 테스트(17%), 소셜 엔지니어링(16%), 봇 공격(12%)이 뒤를 이었다. AI 기반 위조 문서 비율은 0%에서 2%로 증가했으며, 이는 ChatGPT, Grok, Gemini 등 생성AI 도구의 확산과 직접적으로 연결된다.

② 산업·지역별 타격: 아태지역·중동은 급증

부문별 사기율은 온라인 미디어·데이트(6.3%)가 가장 높았고, 금융 서비스(2.7%), 암호화폐(2.2%), 전문 서비스(1.6%), 비디오 게임(1.6%) 순이다.

지역별 사기율은 유럽(-14.6%)과 북미(-5.5%)는 감소했지만, APAC(+16.4%), 중동(+19.8%), 아프리카(+9.3%)는 증가했다. 국가별로는 이라크 9.7%, 파키스탄 5.9%, 탄자니아 5.0%가 가장 높은 비율을 기록했다. 자료에서는 APAC에서 4명 중 1명이 불법 자금 운반책 채용 대상이 되며, 약 80%가 용어는 알고 있지만 실제 위험을 모른다는 점을 지적했다.

AI 사기 에이전트 등장… 방어 전략도 AI 중심으로 전환

① 공격자는 AI 에이전트로 자동화… 방어는 행동 분석과 밀리초 탐지

보고서에서 가장 주목되는 변화는 AI 사기 에이전트다. 이는 최소한의 인간 개입으로 위조 신분증 생성, 딥페이크 영상 제출, 다단계 절차 실행까지 자동화하는 구조다. 단일 AI 에이전트가 전체 공격 체인을 오케스트레이션할 수 있기 때문에 방어는 더 빠른 탐지·행동 기반 모델링·장치 원격 측정·자가 학습 보안이 필수가 되는 흐름이다.

섬섭의 AI/ML 책임자인 파벨 골드만-칼라딘(Pavel Goldman-Kaladzin)은 “AI는 공격과 방어 모두를 혁신한다.”며 “다음 단계는 AI 에이전트 자체를 검증하는 것이다.”라고 말했다.

② 2026년 대비 전략: 단일 확인에서 지속 평가로

섬섭은 기업이 2026년을 대비해 다음과 같은 전략을 제시한다.

규정 준수·사기 탐지·보고·사례 관리를 결합한 통합 위험 인텔리전스 조직 전환

단일 신원 검증에서 벗어나 장치 원격 측정·행동 분석·상황 인텔리전스를 결합한 지속 평가 모델

AI 에이전트가 사용자 대신 거래·인증을 수행할 경우, 자체 검증 가능한 AI 검증 체계 필요

자료는 기업·규제기관·플랫폼 모두가 2026년 이후 사기 패턴 변화에 대비해야 할 필요성을 강조하고 있다.

이번 연례 보고서에서 드러난 사기 양상은 단순 증가나 감소의 문제가 아니라 구조적 진화에 가깝다. 생성AI·위조 기술·API 조작·자율 공격 에이전트가 결합하면서 사기 발생 방식은 복합·고속·다층화되고 있으며, 지역 간 격차 또한 확대되고 있다.

기업은 이를 단순한 KYC 이슈가 아닌 조직 전반의 리스크 관리 체계로 이해해야 하며, 장치 신호·행동 인텔리전스·AI 기반 지속 검증 체계 도입이 필수적이라는 점이 자료 전체에서 일관되게 드러난다.