마이크로소프트는 각종 사기 및 불법 행위로부터 자사 플랫폼과 고객을 보호하기 위해 지속적으로 대응하고 있습니다. 이번 사이버 시그널(Cyber Signals) 리포트에서는 애저(Azure) 상의 사칭 계정 차단, 엣지(Edge) 브라우저의 사기 방지 기능, 윈도우 퀵 어시스트(Quick Assist)의 기술 지원 사기 대응 등 현재 진행 중인 주요 보안 조치와 성과를 소개합니다.
마이크로소프트 주요 보안 성과 지표(2024년 4월 ~ 2025년 4월 기준)
- 약 40억 달러 규모의 사기 시도 차단
- 4만 9천 건의 허위 파트너 등록 요청 거부
- 시간당 약 160만 건에 달하는 자동화된 프로그램(봇) 이용한 계정 생성 시도 차단
AI 기반 사이버 사기의 진화
AI는 사이버 범죄자들에게 공격 생산성을 높이는 도구로 활용되고 있으며, 기술적 진입 장벽을 낮추고 있습니다. 그 결과, 현실감 있게 위장된 공격 메시지나 콘텐츠를 보다 빠르고 적은 비용으로 만들어낼 수 있게 되었으며, 사이버 공격의 속도와 정밀도도 지속적으로 높아지고 있습니다. 실제로 범죄에 사용되는 AI 도구는 매우 다양하며, 정상적인 애플리케이션을 악의적으로 활용하는 사례부터 사기 목적에 특화된 AI 도구를 지하세계에서 사용하는 경우까지 폭넓게 나타나고 있습니다.
AI 기반 도구는 웹상에서 기업 정보를 수집·분석해 특정 직원이나 주요 인물의 상세한 프로필을 자동으로 생성할 수 있습니다. 공격자는 이를 활용해상당히 신빙성 있는 소셜 엔지니어링(Social Engineering) 공격을 설계합니다. 예를 들어, 허위 리뷰나 가짜 쇼핑몰을 생성하고, 기업 연혁과 고객 후기를 조작해 실제 브랜드처럼 꾸미는 방식이 사용됩니다. 이러한 위장 수법은 피해자를 더욱 교묘하게 사기 시나리오에 끌어들이는 데 활용됩니다. 여기에 딥페이크 영상, 음성 합성, 피싱 이메일, 정교하게 위조된 웹사이트 등이 동원되며, 공격자는 합법적인 기업처럼 보이기 위한 사기 전략을 폭넓게 전개하고 있습니다.
마이크로소프트 사기 방지팀(Microsoft Anti-Fraud Team)에 따르면, AI 기반 사기 공격은 전 세계적으로 발생하며, 특히 중국과 유럽, 그 중에서도 독일에서 활발한 활동이 감지되고 있습니다. 이는 독일이 유럽연합(EU) 내 최대 전자상거래 및 온라인 서비스 시장 중 하나라는 점과 관련이 깊습니다. 일반적으로 디지털 시장이 클수록 사기 시도도 그만큼 많아지는 경향이 있기 때문입니다.
전자상거래 사기(E-Commerce Fraud)
AI를 비롯한 다양한 도구를 활용하면 최소한의 기술 지식으로도 단 몇 분 만에 사기성 전자상거래 웹사이트를 구축할 수 있습니다. 과거에는 공격자가 신뢰할 수 있는 웹사이트 제작이 수일에서 수 주가 걸렸지만, 이제는 훨씬 더 빠르고 쉽게 제작할 수 있게 됐습니다. 이러한 사기성 웹사이트는 종종 정식 사이트를 정교하게 모방해, 소비자가 이를 가짜로 인식하기 어렵게 만듭니다.
이는 AI로 생성된 제품 설명, 이미지, 고객 리뷰를 활용해 사용자에게 실제 판매자와 거래하고 있다는 인상을 주며, 익숙한 브랜드에 대한 신뢰를 악용하는 수법입니다.
이와 함께, AI 기반 고객 응대 챗봇은 사기 수법을 더욱 정교하게 만드는 역할을 합니다. 이 봇들은 고객에게 대본에 따른 변명으로 시간을 끌고, AI로 생성된 응답으로 불만을 조작해 사기 사이트를 전문적으로 보이게 만들어 환불을 지연시킬 수 있습니다.
이에 대응해 마이크로소프트는 AI 기반 사기 위협으로부터 고객을 보호하기 위해, 자사 제품과 서비스 전반에 걸쳐 다각적인 보안 체계를 구축하고 있습니다. 마이크로소프트 디펜더 포 클라우드(Microsoft Defender for Cloud)는 애저 환경 전반에서 종합적인 위협 보호 기능을 제공하며, 가상 머신, 컨테이너 이미지, 엔드포인트에 대한 취약점 평가 및 위협 탐지 기능을 포함하고 있습니다.
또한, 마이크로소프트 엣지(Microsoft Edge)는 딥러닝 기술을 기반으로, 사이트 주소 입력 시 발생할 수 있는 철자 오류를 악용한 사기성 도메인 접속과, 도메인 사칭 시도를 탐지·차단하는 기능을 제공해 사용자를 보호합니다. 또한, 머신러닝 기반 스케어웨어 차단(Scareware blocker) 기능도 탑재돼 “컴퓨터가 손상되었습니다”와 같은 허위 경고를 띄우는 팝업창이나 사용자를 속이기 위한 사기성 페이지를 자동으로 식별하고 차단합니다. 이러한 공격은 사용자에게 공포심을 유발해 허위 전화번호로 전화를 걸게 하거나, 악성 소프트웨어를 다운로드하도록 유도합니다.
구직 및 채용 관련 사기(Job and Employment Fraud)
생성형 AI 기술의 빠른 발전으로 인해 공격자는 다양한 구직 플랫폼에 가짜 채용 공고를 훨씬 쉽게 등록할 수 있게 되었습니다. 이들은 도용한 정보로 가짜 인사담당자 프로필을 만들고, AI로 생성한 채용 설명과 자동화된 이메일 캠페인을 활용해 구직자를 노립니다. 여기에 AI 기반 인터뷰 응답 시스템과 자동 이메일까지 더해지면서, 사기성 채용 공고가 실제 제안처럼 보이게 되어 구직자들이 이를 식별하기 점점 더 어려워지고 있습니다.
이러한 사기를 예방하려면, 구직 플랫폼은 기업 계정에 다단계 인증(Multifactor Authentication, MFA)을 적용하고, 정상 계정이 탈취돼 악용되는 상황을 방지할 수 있는 보안 체계를 마련해야 합니다. 아울러, 사기 탐지 기술을 통해 의심스러운 콘텐츠를 식별해야 합니다.
공격자는 종종 지원자 정보를 확인한다는 명목으로 이력서는 물론, 은행 계좌 정보와 같은 개인정보를요구합니다. 지원한 적 없는데도 최소한의 자격 요건으로 고액 연봉을 제시하는 문자나 이메일을 수신했다면, 이는 전형적인 사기의 징후입니다.
채용 과정에서 금전을 요구하거나, 비정상적으로 좋은 조건을 제시하는 경우, 문자를 통해 채용 또는 면접을 제안하거나, 공식 플랫폼이 아닌 경로로 소통이 이뤄지는 경우는 모두 사기 시도의 징후일 수 있습니다.
기술 지원 사기 (Tech Support Scams)
기술 지원 사기란, 존재하지 않는 소프트웨어나 디바이스 오류가 있는 것처럼 속여 피해자에게 불필요한 기술 지원을 받게 만드는 사기 수법입니다.
AI가 직접적으로 개입하지 않더라도, 이러한 유형의 공격은 고위험 사기 수단으로 분류됩니다. 예를 들어, 2024년 4월 중순 마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)는 금전 탈취 및 랜섬웨어 유포를 목적으로 활동하는 사이버 범죄 그룹 Storm-1811이 마이크로소프트 퀵 어시스트(Microsoft Quick Assist)를 악용해 IT 지원 직원을 사칭한 사례를 확인했습니다. 이 공격에는 AI 기술이 사용되지 않았으며, Storm-1811은 보이스 피싱(vishing)을 소셜 엔지니어링 기법의 일환으로 활용해 합법적인 조직을 사칭함으로써 피해자가 디바이스액세스 권한을 넘기도록 유도했습니다.
이와 함께, 2024년 5월 마이크로소프트 위협 인텔리전스는 Storm-1811이 마이크로소프트 팀즈(Microsoft Teams)를 통해 타깃 사용자를 대상으로 보이스 피싱 공격을 시도한 정황도 확인했습니다.
마이크로소프트는 Storm-1811을 비롯한 위협 그룹의 공격 차단을 위해, 비정상적인 행위와 연관된 계정 및 테넌트를 식별해 정지 조치를 취했습니다. 요청한 적 없는기술 지원 제안은 사기일 가능성이 높으며, 기술 지원이 필요한 경우엔 반드시 신뢰할 수 있는 공식 채널을 통해 문의해야 합니다. 마이크로소프트를 사칭한다면, https://www.microsoft.com/reportascam 페이지를 통해 신고해 주시기 바랍니다.
공격자들은 다양한 도구와 기법을 활용해 웹을 스캔해 기업 정보를 연구하고, 직원에 대한 상세한 프로필을 만들어낸 뒤, 상당히 신빙성 있는 소셜 엔지니어링 기법을 이메일, 문자, 기타 채널에 적용해 신뢰를 유도합니다.
이후 공격자는 피해자의 컴퓨터에 원격으로 접근하게 되며, 이를 통해 해당 기기에 저장된 모든 정보는 물론, 연결된 네트워크 상의 데이터에 접근하거나, 악성코드를 설치해 컴퓨터와 민감한 정보에 대한 지속적인 접근 권한을 확보할 수 있습니다.
마이크로소프트 퀵 어시스트와 마이크로소프트는 이러한 공격 시나리오에 당하지 않았습니다. 하지만 마이크로소프트는 합법적인 소프트웨어를 악용함으로써 발생하는 위협에 대응하는 데 집중하고 있습니다. 마이크로소프트 사기 방지 및 제품 팀은 진화하는 공격 기법에 대한 이해를 바탕으로 긴밀히 협력해 사용자를 위한 투명성을 개선하고 사기 탐지 기법을 향상시키고 있습니다.
마이크로소프트는 시큐어 퓨처 이니셔티브 (Secure Future Initiative, SFI) 전략을 기반으로, 모든 제품과 서비스가 초기 단계부터 사기 방지 기능을 갖추도록 설계하는 ‘사기 대응력 내재화(Fraud-resistant by Design)’ 접근 방식을 강화하고 있습니다. 2025년 1월부터는 모든 제품 팀이 설계 프로세스에서 사기 방지 평가를 수행하고, 관련 통제 수단을 구현하도록 하는 새로운 정책이 도입되었습니다.
권장사항
- 기업 계정 인증 강화: 사기범은 실제 기업 계정을 탈취하거나, 존재하지 않는 인사담당자를 사칭해 구직자를 속이기도 합니다. 이를 방지하기 위해, 플랫폼은 다단계 인증(MFA)과 Entra ID 기반의 신원 확인 절차를 도입해 불법적인 사용자가 구인 계정의 권한을 가져갈가능성을 최소화해야 합니다.
- AI 기반 채용 사기 모니터링: 기업은 딥페이크 감지 알고리즘을 도입해, 표정이나 음성 패턴이 자연스럽지 않은 AI 생성 인터뷰를 식별할 수 있어야 합니다.
- 지나치게 매력적으로 보이는 웹사이트 및 채용 공고 유의: 웹사이트의 https 보안 연결 여부를 확인하고, 마이크로소프트 엣지의 오타 방지 기능 등 도구를 활용해 사이트의 신뢰성을 확인해야 합니다.
- 검증되지 않은 출처에 개인정보 및 결제 정보 제공 자제: 채용 공고에서 금전 요구, 문자, WhatsApp, 기업용이 아닌 Gmail 계정 등 비공식 플랫폼을 통한 연락, 혹은 누군가의 개인용 디바이스로 연락을 달라는 요청이 있을 경우 사기 징후일 수 있으므로 주의가 필요합니다.
사기 대응 방안
마이크로소프트 시큐리티 시그널(Microsoft Security Signal)을 통한 사기 방지
마이크로소프트는 AI와 머신러닝 등 첨단 기술을 기반으로 한 대규모 탐지 모델을 지속적으로 고도화해, 사기 시도를 감지하고 대응하는 방어 체계를 강화하고 있습니다. 머신러닝은 대규모 데이터셋에서 컴퓨터가 직접적인 명령 없이 알고리즘을 통해 패턴을 스스로 학습하는 기술이며, 학습된 패턴은 정교한 AI 모델로 발전해 높은 정확도의 사기 탐지 및 예측이 가능합니다.
마이크로소프트는 사용자에게 악성 활동 가능성을 경고하는 보안 제어 기능을 제품에 도입하고, 새로운 유형의 공격을 빠르게 탐지하고 차단할 수 있는 대응 체계를 구축했습니다.
마이크로소프트 사기 방지 팀은 도메인이 생성되는 초기 단계부터 딥러닝 기술을 적용한 도메인 사칭 보호) 기능을 통해 사기성 전자상거래 사이트나 허위 채용 공고 차단을 지원합니다. 또한, 마이크로소프트 엣지에는 웹사이트 오타 보호 기능이 적용돼 있으며, 링크드인(LinkedIn) 플랫폼에는 AI 기반 허위 채용공고 탐지 시스템이 구축되어 있습니다.
ScamSLMer, 일명 ‘스케어웨어 차단기(Scareware Blocker)’는 마이크로소프트 엣지의 핵심 방어 기능 중 하나입니다. 이 기능은 전체 화면 모드에서 브라우저 인터페이스를 숨기고, 가짜 경고 메시지를 띄워 사용자를 현혹하는 의심스러운 페이지를 차단하며, 사용자가 신고한 악성 사이트는 WDS-SmartScreen 팀의 AI 시스템과 전문가 검토를 거쳐 신속하게 분석됩니다. 검토 결과에 따라 해당 사이트는 차단 조치돼, 향후 유사한 피해를 예방하는 데 활용됩니다.
마이크로소프트 디펜더 스마트스크린(Microsoft Defender SmartScreen)은 웹사이트, 파일, 애플리케이션의 평판 정보와 행위 기반 분석을 활용해, 피싱 사이트 접속이나 악성 콘텐츠 다운로드와 같은 위험 요소를 사전에 차단하는 클라우드 기반 보안 기능입니다. 이 기능은 윈도우 운영체제와 마이크로소프트 엣지 브라우저에 기본적으로 통합돼 있으며, 사용자를 피싱 공격, 악성 웹사이트, 위험한 다운로드로부터 보호합니다.
마이크로소프트의 디지털범죄유닛(Digital Crimes Unit)은 민간 및 공공 부문과 협력해, 범죄자들이 사이버 기반 사기를 조장하는 데 사용하는 악성 인프라를 추적 및 해체하고 있습니다. 이 팀은 전 세계 법집행기관과의 장기적인 협업을 통해 기술 지원 사기(Tech Support Fraud) 대응에 기여해 왔으며, 현재까지 수백 건의 체포와 실형 판결 등 실질적인 법적 조치를 이끌어냈습니다. DCU는 이러한 대응 경험을 바탕으로, 생성형 AI 기술을 악용하려는 시도에 대해서도 선제적으로 대응하고 있습니다.
퀵 어시스트 및 원격지원 보안 강화
기술 지원 사기를 방지하기 위해, 마이크로소프트는 사용자에게 접근하는 사람이 승인된 IT 부서 또는 기타 지원팀의 일원이라고 주장하기 전에 사용자에게 기술 지원 사기 가능성에 대해 경고하는 메시지를 전송하는 기능을 퀵 어시스트에 도입했습니다.
윈도우 사용자는 장치에 원격 액세스를 허용하는 보안 위험에 대해 반드시 읽고 인지한 이후 확인란을 클릭해야 합니다.
마이크로소프트는 보안 신호(Security Signal)를 기반으로, 윈도우용 퀵 어시스트의 보안 기능을 한층 강화했습니다. 기술 지원 사기(Tech Support Scam) 및 기타 위협에 대응하기 위해, 마이크로소프트는 하루 평균 4,415건의 의심스러운 퀵 어시스트 연결 시도를 차단하고 있으며, 이는 전 세계 전체 연결 시도의 약 5.46%에 해당합니다. 이러한 차단은 악의적인 행위자와의 연관성 또는 검증되지 않은 연결과 같은 의심스러운 속성을 보이는 연결을 대상으로 합니다.
마이크로소프트는 퀵 어시스트의 보안을 지속적으로 고도화해왔으며, 과거 무작위 개인을 노리던 공격자들이 최근에는 조직적인 사이버 범죄 캠페인을 통해 기업을 직접 겨냥하는 양상으로 변화한 데 따른 대응 조치입니다. 이 같은 조치는 위협 탐지 및 차단 성능을 실질적으로 강화하며, 공격 확산 방지에 기여하고 있습니다.
이 보안 체계의 핵심은 AI 및 머신러닝 기반의 디지털 지문 인식(Digital Fingerprinting) 기술입니다. 이 기술은 다양한 보안 신호를 수집·분석하여 사기 및 위협 징후를 탐지하고, 의심 행위 가능성이 확인되면 퀵 어시스트 세션을 자동 종료합니다. 디지털 지문 인식은 의심스러운 사용자 행동을 식별하고 분석함으로써, 무단 접근 시도를 사전에 탐지하고 차단합니다.
기업 환경에서는 원격 지원(Remote Help)이 기술 지원 사기에 대응하는 데 유용한 리소스로 활용됩니다. 이 기능은 조직 내부 지원을 목적으로 설계되었으며, 기업 환경에 적합한 고도화된 보안 기능을 기본적으로 갖추고 있습니다.
마이크로소프트는 자사 제품의 사기 대응 역량을 지속적으로 강화하고 있으며, 이를 통해 악성 행위로부터 사용자를 보호하고 전반적인 보안 수준을 향상시키는 것을 목표로 하고 있습니다.
소비자 보호를 위한 팁 (Consumer Protection Tips)
사기범들은 긴박함, 희소성, 그리고 사회적 증거에 대한 신뢰와 같은 심리적 요인들을 교묘하게 악용합니다.
소비자들은 다음과 같은 사항에 주의해야 합니다.
- 충동 구매 유도 – 사기범들은 ‘한정 시간 할인’, 카운트다운 타이머 등을 활용해 소비자에게 긴박감을 조성합니다.
- 허위 사회적 증거 조작 – AI를 활용해 가짜 리뷰, 인플루언서 추천, 사용자 후기를 생성하고, 이를 통해 신뢰할 수 있는 브랜드처럼 위장합니다.
- 검증 없는 광고 클릭 – 많은 사기 사이트는 AI로 최적화된 소셜 미디어 광고를 통해 확산되며, 구매 전에는 도메인 주소와 사용자 리뷰를 교차 확인해야 합니다.
- 검증되지 않은 결제 수단 – 사기 방지 보호 장치가 없는 계좌이체나 암호화폐 결제는 피해 복구가 어려우므로 피해야 합니다.
구직자는 채용 사기를 예방하기 위해, 고용주가 합법적인지 확인하고, 대표적인 사기 징후에 주의하며, 검증되지 않은 고용주에게는 개인정보나 금융 정보를 제공하지 않아야 합니다.
- 고용주 합법성 검토 – 링크드인, 글래스도어(Glassdoor) 또는 공식 웹사이트 등을 통해 기업 정보를 교차 검증해야 합니다.
- 전형적인 채용 사기 징후에 대한 경각심 – 교육비, 자격증 취득비, 신원 조회 비용 등을 선납 요구하는 채용 공고는 사기일 가능성이 높습니다. 경력을 요구하지 않는 원격 근무나, 비현실적으로 높은 급여, 기업용 이메일 도메인(예: [email protected])이 아닌 무료 이메일 도메인(예: [email protected])을 사용하는 채용 담당자 역시 사기 가능성의 신호로 간주해야 합니다.
- AI 기반 인터뷰 및 커뮤니케이션 경계 – 영상 인터뷰가 자연스럽지 않거나, 입 모양과 음성이 어긋나거나, 표정이 어색하거나 기계적인 목소리가 들리는 경우, 딥페이크 기술이 사용됐을 가능성이 있습니다. 추가 논의를 진행하기 전에 채용 담당자의 신원을 회사의 공식 웹사이트를 통해 확인해야 합니다.
- 개인 및 금융 정보 제공 금지 – 신원이 확인되지 않은 고용주에게 주민등록번호, 계좌 정보, 비밀번호 등의 민감한 정보는 절대 제공해서는 안 됩니다.
마이크로소프트는 정부, 법 집행기관, 소비자 보호 단체, 금융당국 및 금융 서비스 제공자, 브랜드 보호 기관, 소셜 미디어 및 인터넷 서비스 제공업체, 사이버보안 기업 등과 협력해 지식을 공유하고 소비자를 사기로부터 보호하는 것을 목표로 하는 글로벌사기방지연합(Global Anti-Scam Alliance, GASA)의 회원입니다.
권장 사항
원격 지원(Remote Help): 마이크로소프트는 내부 기술 지원 시 퀵 어시스트대신 원격 지원 기능 사용을 권장합니다. 원격 지원은 조직 내부 사용을 목적으로 설계돼 있으며, 기술 지원을 사칭한 해킹 시도에 대응하는 기능이 적용되어 있습니다. 또한 이 도구는 조직의 테넌트 내에서만 사용 가능하도록 제한되어 있어, 퀵 어시스트보다 더 안전한 대안이 됩니다.
디지털 지문 인식(Digital Fingerprinting): 마이크로소프트의 디지털 지문 인식 기능은 악성 행위를 식별하고 이를 특정 사용자와 연계해, 비인가 접근을 실시간으로 모니터링하고 사전에 차단할 수 있도록 지원합니다.
전체 제어 권한 요청 차단 기능(Blocking Full Control Requests): 현재 퀵 어시스트에는 전체 화면 공유 요청 시 보안 경고 메시지를 제공하는 기능이 포함돼 있으며, 사용자가 화면 공유로 인한 보안상 영향을 인지하고 동의 체크박스를 클릭하도록 요구합니다. 이 기능은 사용자가 다중 작업 중이거나 집중이 분산된 상황에서도 한 번 더 주의를 기울이고 위험 여부를 판단할 수 있도록 유도하는 보안 장치로 작동합니다.
켈리 비셀(Kelly Bissel) 프로필
AI 시대의 사기 근절을 이끄는 사이버 보안 개척자
켈리 비셀(Kelly Bissell)의 사이버보안 여정은 1990년, 뜻밖의 사건을 계기로 시작됐습니다. 컴퓨터 공학 분야에서 커리어를 시작한 그는 당시 Medaphis와 Bellsouth(현 AT&T)에서 헬스케어 환자 회계 및 운영 시스템 소프트웨어 개발에 참여하고 있었습니다.
그의 사이버보안에 대한 관심은, 누군가 전화 스위치에 무단으로 접속해 무료 장거리 전화를 시도하는 것을 발견하고, 해당 침입자가 루마니아에서 접속한 것으로 추적해낸 경험을 통해 시작되었습니다. 이 사건이 바로 켈리의 사이버보안 경력의 출발점이었습니다.
그는 “그 이후 수백 개 기업의 보안 통제를 설계하고, 위협 행위자를 추적하며, NIST 보안 프레임워크, FFIEC, PCI, NERC-CIP와 같은 규정 개발에도 참여했습니다”라고 말합니다.
현재 켈리는 마이크로소프트 보안 조직 내에서 사기 방지 및 제품 악용 총괄 부사장(Corporate Vice President of Anti-Fraud and Product Abuse)을 맡고 있습니다. 그의 팀은 머신러닝과 AI를 활용해 탐지 코드를 개선하고 사기 운영 방식을 분석하며, 지속적으로 학습하고 진화하는 고급 사기 탐지 프레임워크를 기반으로 AI 솔루션을 통해 위협을 탐지하고 차단하고 있습니다.
그는 “사이버범죄는 이미 수조 달러 규모의 문제로, 지난 30년 동안 지속적으로 증가해 왔습니다. 오늘날 우리에게는 AI를 더 빠르게 도입해 노출 격차를 빠르게 감지하고 해소할 수 있는 기회가 있습니다. 이제 우리는 대규모 변화가 가능한 AI를 보유하고 있으며, 이를 통해 제품에 보안 및 사기 방지 기능을 훨씬 더 빠르게 구축할 수 있습니다. 우리는 “고객”과 “공급업체”라는 사고방식에서 벗어나 파트너로서 함께 일하는 관계로 전환해야 합니다. 최근 저는 마이크로소프트 디지털범죄유닛과 함께 그리스에서 인터폴 및 15개국의 법 집행기관, 사이버보안청, 재무부 장관들과 회동하며 이러한 방향성을 공유했습니다”라고 강조합니다.
켈리는 이전에 마이크로소프트의 탐지 및 대응팀(DART)을 이끌었으며, 스톰-0558(Storm-0558) 및 미드나잇 블리자드(Midnight Blizzard)와 같은 고도화된 공격자 그룹에 대응하기 위한 글로벌 추적·감시·전략 조직인 GHOST(Global Hunting, Oversight, and Strategic Triage)를 창설하기도 했습니다.
마이크로소프트 이전에는 엑센츄어(Accenture)와 딜로이트(Deloitte)에서 근무하며 다양한 민간 기업과 협력했고, 미국 국토안보부 사이버보안·인프라보안국(CISA), FBI 등 정부기관과도 긴밀히 협업하며 국가 보안 체계 구축에 기여했습니다.
또한 한 은행의 최고정보보안책임자(CISO)로 재직하던 당시에는 사이버보안과 사기 방지 양쪽를모두 경험하며, 이를 통해 금융기관 및 마이크로소프트의 보호 규제 가이드라인 수립에도 관여해 왔습니다.
그는 미국 국립표준기술연구소(NIST) 보안 기준과 PCI(결제카드 산업) 컴플라이언스 등 주요 규제 프레임워크 수립에 핵심적으로 참여했으며, 이러한 기준들은 기업의 신용카드 결제 보안에 중요한 기반이 되고 있습니다.
국제 무대에서도 켈리는 사이버보안 체계 강화와 기관 설립에 핵심적인 역할을 해왔습니다. 런던에서 컨설턴트로 활동하던 당시에는 영국 정부통신본부(GCHQ) 산하 국가 사이버보안센터(NCSC) 설립을 지원했으며, 이는 미국의 사이버보안·인프라보안국(CISA)에 해당하는 기관입니다. 또한 그는 유튜브를 비롯한 여러 소셜 미디어 기업과 협력해, 유해 콘텐츠를 식별하고 제거하는 콘텐츠 모더레이션 작업에도 중요한 기여를 했습니다.
이러한 경험은 그가 마이크로소프트와 글로벌사기방지연합(Global Anti-Scam Alliance, GASA) 간 파트너십에 특히 기대를 거는 이유이기도 합니다. GASA는 정부, 법 집행기관, 소비자 보호 단체, 금융 당국, 인터넷 서비스 제공업체, 사이버보안 기업 등 다양한 주체가 협력해 지식과 정보를 공유하고, 소비자를 사기로부터 보호하는 것을 목표로 합니다.
그는 “마이크로소프트만 보호하는 것으로는 충분하지 않습니다. 애플은 애플대로, 구글이 구글대로 대응하더라도 우리가 함께 협력하지 않는다면 우리 모두 더 큰 기회를 놓치게 됩니다. 우리는 사이버 범죄 정보를 서로 공유하고, 대중을 교육해야 합니다. 기술 기업들이 보안과 사기 방지 기능을 제품에 내장하고, 공공 인식을 높이며, 법 집행기관과 사이버 범죄자 정보를 공유하는 이 ‘3가지 축’이 함께 작동한다면, 우리는 매우 큰 변화를 이끌어낼 수 있을 것입니다”라고 강조합니다.
데이터 수집 방법론 (Methodology)
이번 보고서에 활용된 데이터는 마이크로소프트의 다양한 플랫폼 및 서비스에서 수집된 익명화된 위협 행위자 활동 및 트렌드 데이터를 기반으로 합니다. 주요 데이터 출처는 마이크로소프트 애저(Microsoft Azure), 디펜더(Microsoft Defender), 디펜더 포 오피스(Defender for Office), 위협 인텔리전스(Microsoft Threat Intelligence), 디지털범죄유닛(DCU) 등이 포함되며, 마이크로소프트 엔트라 ID(Microsoft Entra ID)는 악성 이메일 계정, 피싱 메일, 네트워크 내 침입 활동 등과 관련된 익명 위협 데이터를 제공합니다. 이외에도 마이크로소프트 클라우드, 엔드포인트, 인텔리전트 엣지, 마이크로소프트 플랫폼과 서비스의 텔레메트리 등 다양한 환경에서 수집된 보안 시그널이 주요 인사이트로 활용되었습니다. 보고서에 언급된 ‘40억 달러’라는 수치는 최근 12개월 동안 마이크로소프트와 자사 고객(소비자 및 기업 대상)을 겨냥한 사기 시도 전체 규모를 합산한 금액을 의미합니다.
