캣피싱은 정확히 무엇일까? 어떻게 하면 피해를 예방하고, 당했을 때 대응할 수 있을까?
이번 기사에서는 호주 정부의 온라인 안전 기관인 eSafety Commissioner와 CNN의 Sen Nguyen 기자가 제공하는 캣피싱의 유형 특성과 예방, 그리고 대처법을 정리했다.
넷플릭스 다큐멘터리 〈의문의 발신자〉는 2년간 수백 통의 협박 문자를 보낸 캣피싱 사건을 다루며, 캣피싱은 가짜 신분과 도용·AI 생성 사진으로 온라인에서 신뢰를 쌓은 후 금전을 갈취하거나 성적 콘텐츠로 협박하는 사기 범죄다. / 사진출처=넷플릭스 다큐멘터리 '의문의 발신자: 고등학교 캣피싱 사건' 중 캡처
이미지 확대보기
■ 캣피싱이란? 가짜 신분의 표적 사기
캣피싱(catfishing)은 허위 정보와 사진을 사용해 온라인에서 가짜 신분을 만들고, 이를 통해 다른 사람을 속이거나 괴롭히거나 사기 치는 행위를 말한다. 소셜미디어, 데이팅 앱, 데이팅 웹사이트에서 발생하며, 거짓 신분으로 온라인 관계를 형성해 금전적 사기로 유인하는 데 이용되는 경우가 많다. 이 용어는 2010년 다큐멘터리 <캣피시(Catfish)>에서 비롯됐다.
주인공 네브 슐만(Nev Schulman)은 온라인에서 "메건(Megan)"이라는 10대 소녀와 관계를 맺지만, 그녀가 실제로는 중년 여성이라는 사실을 알게 된다. 다큐 마지막에 여성의 남편은 알래스카에서 명태(cod)를 신선하게 유통하기 위해 메기(catfish)와 함께 수송했다는 일화를 들려준다. 메기가 명태를 계속 움직이게 해서 활력을 유지하게 했다는 이야기였는데, 그는 자신의 아내처럼 타인을 혼란스럽게 만드는 사람을 이에 비유했다. 캣피셔(캣피싱 가해자)는 신뢰를 얻은 후 피해자의 비밀을 온라인에 공개하거나, 돈을 요구하거나, "그루밍(grooming)"을 통해 노출 사진을 보내도록 압박하기도 한다. 일부는 누드 또는 사적인 사진, 영상으로 협박하는 "섹스토션(sextortion)"이나 개인 정보를 이용해 신원 도용(identity theft)까지 시도한다.
■ "나야"라던 그 사진은 가짜였다… 주의해야 할 경고 신호
캣피셔는 가짜 사진, 학교, 직장, 친구 목록을 포함한 가짜 계정을 만든다. 자신을 매우 매력적인 사람으로 포장하거나 유명인(운동선수)인 척하며 피해자가 관심을 받았다고 느끼게 만든다. 혹은 평범한 사람인 척하면서 피해자와 취향과 관심사가 완벽히 일치하는 "이상형"처럼 행동하기도 한다.
전문가들은 다음과 같은 여러 징후가 캣피싱을 식별하는 데 도움이 된다고 말한다.
① "이 사진이 나야"라며 사진을 보낸다
캣피셔가 보내는 사진이 진짜인지 확인할 방법은 거의 없다. 캣피셔는 다른 사람의 사진을 도용해 프로필을 만들 수 있고, AI 기술이 발전하면서 캣피셔는 고유하고 현실적인 AI 생성 사진을 프로필에 사용할 수 있게 되었기 때문이다.
대화 초반에는 부유함, 매력적인 외모 등을 어필한다. 그러나 이들은 정작 전화나 영상통화는 피한다. "카메라가 고장 났다", "군인이라 임무 중에는 얼굴을 보여줄 수 없다"는 식의 핑계를 댄다.
프로필 사진이나 공유받은 사진을 이미지 검색해 다른 이름의 사람이 나온다면 가짜 계정일 가능성이 높다. 또한, 캣피셔는 상대의 디지털 흔적(digital footprint)을 조사해 상대방이 좋아하는 장소, 밴드, 음식 등을 파악해 상대방과 "완벽히 맞는 사람"처럼 꾸미기도 한다. 따라서, 나에 대해 지나치게 잘 알고 있다면 경계해야 한다.
② 과도한 칭찬과 애정
캣피셔는 보통 갑자기 연락을 시작하여 지속적으로 대화를 시도하고 과도한 칭찬과 애정 표현으로 빠르게 친밀감을 쌓으려 한다. 때로는 선물 등을 보내며 특별한 사람처럼 느끼게 만들기도 한다. 이른바 "러브 밤(love bombing)"으로 온라인 데이팅, 로맨스 스캠의 전형적인 패턴이다. 이런 방식은 상대가 "나를 진심으로 아끼나 보다"라고 믿게 만들고, 결국 요구를 들어주도록 유도한다. 이는 조종 또는 사기를 하기 쉽게 만든다.
③ SNS 활동이 거의 없음
캣피셔는 이름을 검색해도 정보가 거의 나오지 않는 등 자신의 아이덴티티를 잘 드러내지 않는다. 따라서 소셜미디어 활동이 거의 없고, 친구 수, 게시물, 사진, 태그 기록도 미미하다. 대화 내용의 일관성이 없거나 경력, 학력 정보, 거주지가 계속 바뀌는 것도 특징이다. 트위터(X)나 링크드인(LinkedIn) 등 다른 SNS 계정 여부와 공통 친구 유무는 실제 신원 확인에 도움이 된다.
④ 신뢰가 쌓이면 무언가를 요구한다
처음에는 그냥 상대방을 더 알고 싶어 하는 것처럼 보일 수 있다. 그러나 신뢰가 쌓이는 순간 개인식별 정보, 가족 정보, 계정 보안 정보 등을 요구한다. 현금, 기프트카드, 암호화폐 송금이나 물품 재전송을 요구하기도 한다. 민감한 사진을 요구하거나 이를 빌미로 협박하는 것도 흔한 수법이다.
원하지 않는 누드 사진을 보내거나 성급하게 누드, 성적 행동을 요구한다면 매우 위험하다. 이는 섹스토션(sextortion)이나 온라인 아동·청소년 성착취(grooming) 등으로 이어질 수 있다. 섹스토션은 상대방에게 성적인 행동을 요구하고 몰래 녹화한 뒤 그 영상으로 돈 또는 추가 민감 콘텐츠를 요구하며 협박하는 수법을 쓴다.
■ 예방 방법은? 캣피싱 피하는 실전 체크리스트
캣피싱을 예방하려면 어떻게 해야 할까? eSafety는 다음과 같은 예방법을 알려주고 있다.
① 개인정보 보호 설정을 강화하라
당신이 무엇을 공유하는지, 누가 볼 수 있는지, 누가 댓글이나 메시지를 보낼 수 있는지를 직접 통제할 수 있도록 프라이버시 설정을 조정하라. 인스타그램(Instagram), 틱톡(TikTok), 왓츠앱(WhatsApp) 등 다양한 온라인 플랫폼, SNS, 앱, 게임에서 개인정보 보호 설정을 변경하고, 가능하면 2단계 인증(2FA)을 설정해야 한다.
인터넷 이용 시 VPN(가상사설망) 사용도 고려하라. VPN을 사용하면 인터넷 활동이 추적되기 어려워져 사기범이 타깃을 특정하기 어렵게 만든다. 또한, 자신의 이름을 검색해 사람들이 이미 당신에 대해 온라인에서 얼마나 많은 정보를 볼 수 있는지도 확인하고, 디지털 발자국(digital footprint)을 관리하는 법을 익히는 것이 좋다.
② 온라인에서 만난 사람을 쉽게 믿지 말라
온라인에서는 상대가 누구인지 정확히 알기 어렵다. 캣피싱 사기에 속지 않기 위해 첫째, 경고 신호 확인하기, 둘째, 관계를 성급하게 진행하지 않기, 셋째, 자신의 정보를 과도하게 공유하지 않기를 기억해야 한다.
③ 개인 정보 공유에 각별히 주의하라
대다수의 사람들은 비밀번호를 절대 공유하지 말아야 한다는 점을 알고 있다. 그러나 실제로는 비밀번호를 추측할 수 있을 만큼 많은 정보가 온라인에 흩뿌려져 있다. 다음과 같은 정보들은 당신의 계정에 접근하거나 가짜 계정을 만드는 데 활용될 수 있다.
전체 이름, 생년월일, 집 주소, 기타 사소한 개인 정보들이 조합되면 금전 절도, 신용카드 발급 등 신원 도용, 상대방의 프로필을 이용한 2차 캣피싱 등의 범죄가 발생할 수 있다. "무심코" 개인식별정보를 드러내지 않도록 주의해야 한다.
특히, 가상화폐 투자 사이트는 각별히 주의해야 한다. 미국, 영국, 호주 등 많은 국가에서 피해자들은 캣피셔가 가짜 암호화폐 투자 사이트로 유도하는 사례를 신고해 왔다. 누군가가 당신에게 투자 사이트에 돈을 넣으라고 하면 반드시 한 번 더 생각해야 한다. 국제 반(反)사기 단체인 GASO(Global Anti-Scam Organization)는 자체 조사와 제보를 기반으로 한 사기 사이트 데이터베이스를 운영한다. 이 사이트를 통해 사기 가능성을 직접 확인할 수 있다.
④ 생각보다 쉽게 드러나는 개인정보 예시
다음과 같은 사진, 영상은 자신도 모르게 개인 정보를 노출할 수 있다:
• 생일 케이크에 나이 숫자가 적힌 사진 → 생년월일 유출 • 쇼핑 인증샷 → 계산대 위에 놓인 은행카드 번호가 배경에 노출 • 집 앞/학교 앞 사진 → 위치 정보 노출 • 회사 내부 사진 → 직장, 근무환경 공개
이처럼 일상적이고 사소해 보이는 콘텐츠도 캣피셔나 스캐머에게는 귀중한 신원 정보가 될 수 있다.
■ 캣피싱, 피해는 조용히 시작된다… 당했다면 가장 먼저 해야 할 일
캣피싱을 사전에 예방하는 것이 최우선이지만, 때에 따라 그들의 수법에 빠져들 수 있다. 캣피싱을 당하고 있다면 전문가들은 다음과 같은 조치를 권한다.
① 직접 질문하고 의심을 표현하라
왜 전화나 영상통화를 피하는지, 왜 갑자기 감정을 표현하는지 직접 질문해 신원을 확인해야 한다.
② 모든 연락을 중단하라
추가적인 금전 요구를 막기 위해, 돈을 보내지 말고 연락을 끊는 것이 최선이다. 전문가들은 캣피셔가 대응해주는 사람을 더 집요하게 표적으로 삼는다고 말한다.
③ 온라인 계정을 안전하게 보호하라
전화번호, 이메일, 생년월일 등 개인정보를 비공개로 전환하고, "Have I Been Pwned" 등으로 이메일 유출 여부를 확인하라. 또한 2단계 인증(2FA)을 활성화해 SMS 인증코드나 보안키(키 폽 등)로 추가 인증을 설정해야 한다.
④ 경찰이나 온라인 범죄 담당 관련 기관에 신고하라
캣피셔에게 속아 돈을 보냈다면 즉시 경찰이나 금융기관(은행)에 신고해야 한다. 갈취, 신원 도용, 괴롭힘 등 범죄가 발생했을 경우 해당 국가의 경찰이나 온라인 범죄 담당 기관이 우선 신고처다. eSafety Commissioner는 사기범(캣피셔)의 프로필 화면 캡처, 대화 내용 캡쳐(스크린샷), 사기 정황을 보여주는 기타 증거물을 최대한 확보해 보관할 것을 권고한다. 또한 경우에 따라 사용 중인 플랫폼에 직접 "학대/사칭 신고(abuse or impersonation report)"를 제출할 수 있다.
페이스북(Facebook), 인스타그램, 틱톡, X(트위터), 텔레그램(Telegram), 틴더(Tinder), 왓츠앱 등 대부분의 주요 SNS 플랫폼은 누군가가 사칭하고 있다고 의심될 때 즉시 신고할 수 있는 기능을 제공한다. 위챗(WeChat) 역시 다른 사용자를 괴롭힘, 사기, 불법 행위로 신고할 수 있는 기능을 제공하며, 텔레그램은 사기범을 신고할 수 있도록 안티-스캠(anti-scam) 스레드를 운영한다.
■ 자녀가 캣피싱 피해자라면? 자녀 보호를 위한 부모 가이드
부모는 자녀와 민감하고 솔직하게 온라인 위험에 대해 대화해야 한다. 캣피셔 계정은 차단(block)하도록 지원하고, 플랫폼에 사칭, 사기를 신고하며, 불법적, 부적절한 상황이 발생했다면 즉시 경찰에 신고해야 한다. 캣피셔는 종종 SNS에 게시된 개인 정보를 기반으로 접근하기 때문에, 유니세프(UNICEF)는 특히 미성년 아동의 사진이나 콘텐츠를 부모가 온라인에 공유할 때, 아이의 권리와 프라이버시를 최우선으로 고려해야 한다고 강조한다. 캣피싱은 일상적인 SNS 활동 속에서 누구나 피해자가 될 수 있는 디지털 범죄다. 나를 지키는 가장 쉬운 방법은 "온라인에서 너무 많은 것을 내주지 않는 것"이다. 조금의 경계심과 신속한 대응이 큰 피해를 막는다.
▶원문 기사 출처
- "What is catfishing and what can you do if you are catfished?" Sen Nguyen, 2024.01.30. <CNN Business>
- "Catfishing: Why It Happens, How It Hurts, and How to Stay Safe Online" Danny O'Sullivan, 2024.12.03. <Centric Mental Health>.
- e-Safety Commissioner (Young People > Catfishing).
김지연(Jee Yearn Kim) Ph.D. 독립 연구자로 미국 신시내티 대학교 형사정책학 박사 학위를 취득했다. 주요 연구 및 관심 분야는 범죄 행위의 심리학(Psychology of Criminal Conduct), 범죄자 분류 및 위험 평가(Offender Classification and Risk Assessment), 효과적인 교정개입의 원칙(Principles of Effective Intervention), 형사사법 실무자의 직장내 스트레스 요인, 인력 유지 및 조직행동(Workplace Stressors, Retention, and Organizational Behavior of Criminal Justice Practitioners), 스토킹 범죄자 및 개입 방법(Stalking Offenders and Interventions)이다.
김지연 형사정책학 박사 cjdr.kim@gmail.com
