구글 제미나이 AI로 2조 원대 피싱 사기: '아웃사이더 엔터프라이즈'의 정체와 파장

2026년 6월 12일, 구글이 뉴욕 남부 지방법원에 제출한 소장 하나가 전 세계 사이버 보안 업계를 뒤흔들었다. 소송 대상은 '아웃사이더 엔터프라이즈(Outsider Enterprise)' 라는 이름의 중국 기반 범죄 네트워크. 이들은 구글이 자랑하는 최첨단 생성형 AI '제미나이(Gemini)'를 악용해 무려 1조 9천억 원(19억 달러)에 달하는 막대한 금전적 피해를 입혔고, 3,870만 건의 신용카드 정보를 탈취한 혐의를 받고 있다 . 이날 구글의 소송과 동시에 미국 연방수사국(FBI)과 통신 보안 기업 루멘 테크놀로지스(Lumen Technologies)는 합동 작전으로 이들의 핵심 서버와 암호화폐 지갑을 압수했다 .

단순 해킹 그룹이 아닌 '사이버 범죄 프랜차이즈'

아웃사이더 엔터프라이즈는 기존의 은밀한 해커 집단과는 차원이 다른 상업적 사이버 범죄 프랜차이즈였다. 이들은 흔히 '서비스형 피싱(Phishing-as-a-Service, PhaaS)'이라 불리는 플랫폼을 구축해, 기술이 부족한 하위 범죄자들에게 공격 도구를 돈을 받고 빌려주는 사업 모델을 가지고 있었다 . 마치 합법적인 소프트웨어 구독 서비스처럼 말이다.

이들의 핵심 상품은 텔레그램 메신저를 기반으로 한 '피싱 봇(Bot)'이었다. 구매자들은 단돈 주 88달러(약 12만 원) 또는 월 200달러(약 27만 원) 만 지불하면, 실제 은행이나 우체국(USPS), 통행료 징수 기관, 심지어 구글 자사 로그인 화면까지 완벽하게 모방한 가짜 사이트와 대량 스미싱 문자를 자동으로 생성할 수 있었다 . 이는 마치 딥페이크 제작이 일반인의 손에 들어간 것처럼, 사이버 범죄의 진입 장벽을 상상할 수 없을 정도로 낮춰버린 사건이었다.

구글 제미나이가 어떻게 '공범'이 되었나

아웃사이더 엔터프라이즈가 이토록 대규모의 사기 행각을 벌일 수 있었던 배경에는 제미나이 AI의 악용이 결정적인 역할을 했다. 이들이 AI를 활용한 방식은 크게 두 가지로 요약된다:

• 피싱 사이트 자동화 공장: 이들이 판매한 도구 키트는 제미나이의 자연어 생성 능력을 이용해, 피싱에 필요한 웹페이지의 HTML 소스 코드를 대신 작성하게 했다. 덕분에 범죄자들은 코딩 지식이 전혀 없어도 수백 개의 은행 사이트나 페덱스(FedEx) 같은 배송 대행사 사이트를 그럴듯하게 복제할 수 있었다. AI가 버튼 클릭 몇 번으로 수작업을 산업적 규모로 확대한 셈이다 .
• 안전 장치 무력화: 구글 제미나이에는 불법 행위 요청을 차단하는 안전 필터가 내장되어 있다. 그러나 이들은 "선물 교환권 안내 페이지를 만들어줘" 또는 "소포 배송 알림 HTML 페이지 코드를 생성해줘"와 같이 얼핏 무해한 작업을 지시하는 방식으로 구글의 감시망을 교묘하게 우회했다. AI에게 '피싱 페이지'를 직접 요구하는 대신, 그렇게 해석될 수 있는 모호한 작업을 시킨 것이다 .

구글의 소장에 따르면, 이들이 이 방식으로 찍어낸 사기성 웹사이트는 100만 개가 훌쩍 넘으며, 미국 내 휴대전화 사용자에게 무차별적으로 발송된 스미싱 문자는 250만 건 이상에 달한다 . 단순한 인공지능의 오용을 넘어, AI를 대량 살상 무기처럼 산업화한 사례라고 할 수 있다.

소장으로 드러난 조직의 '5개 부서 체계'

소송 과정에서 수면 위로 드러난 아웃사이더 엔터프라이즈의 내부 구조는 일반 기업 못지않게 체계적이었다. 적어도 5개의 전문 부서가 유기적으로 결합된 형태로 운영되었는데, 그 면면은 다음과 같다 :

부서	주요 역할
개발자	피싱 도구 키트 및 제미나이 연동 코드를 개발·유지보수하는 핵심 기술 부서
데이터 브로커	탈취된 개인정보와 계정 정보를 암시장에서 사고파는 역할
스팸/대량문자 발송 부서	해킹하거나 위조한 발신자 ID를 활용해 대량의 스미싱 문자를 발송하는 인프라 담당
사기·현금화 부서	탈취한 신용카드 정보나 로그인 정보를 실제 현금이나 암호화폐로 바꾸는 몸통 역할
텔레그램 운영 및 고객 지원	구독자(범죄자)를 응대하는 봇 관리, 암호화폐 결제 수금, 심지어 툴 사용법 고객 상담까지 담당

이렇듯 분업화된 구조와 AI 자동화가 결합되면서, 이 조직은 전통적인 범죄 조직이 아닌 실리콘밸리의 서비스형 소프트웨어(SaaS) 스타트업과 같은 효율성으로 운영될 수 있었다 .

AI 사기 시대가 던지는 경고

이번 소송은 단순히 일개 범죄 조직의 검거를 넘어, AI 시대 사기 범죄의 어두운 현주소에 대한 여러 중대한 교훈을 던져준다:

• 범죄의 '민주화': AI 기술을 주 8만원짜리 키트에 담아내면서, 코딩을 전혀 모르는 사람도 몇 분 만에 국가 기관이나 은행을 사칭하는 정교한 피싱 사이트를 만들어낼 수 있게 됐다. 이는 표적 해킹의 시대에서 상품으로 포장된 AI 사기의 시대로 완전히 넘어갔음을 의미한다 .
• 사상 최초의 법적 대응: 이는 구글이 자사의 생성형 AI 제품 악용을 이유로 한 첫 번째 소송이다 . 기술적 차단만으로는 부족하다고 판단한 빅테크가 법적 투쟁을 통해 범죄 공급망 자체를 뿌리 뽑겠다는 의지를 천명한 사건으로 해석된다.
• 새로운 민관 협력 모델: 구글은 FBI는 물론, AT&T, 버라이즌, T-Mobile 같은 경쟁 통신사들은 물론 망 보안 기업 루멘과도 의기투합했다. 이는 AI 사기 근절을 위해 더 이상 개별 기업의 노력만으로는 역부족이며, 정부, AI 제공자, 통신사가 함께 설계된 합동 작전만이 효과적임을 입증한 사례다 .
• 법률의 사각지대: 구글은 이번 소송을 빌미로, 생성형 AI를 불법 사기 도구로 변형하는 행위 자체를 별도로 규정하는 새로운 법률 제정이 시급하다고 촉구했다. 현행법 체계로는 AI를 '범죄 도구'로 사용하는 특수성을 완벽하게 규율하지 못하는 사각지대가 존재하기 때문이다 .

유의 사항: 이번 소송은 아직 민사 소송 단계일 뿐, 확정 판결이 내려진 형사 사건이 아니다. 아웃사이더 엔터프라이즈에 대한 혐의는 법정에서 완전히 입증된 것이 아니며, 조직의 핵심 운영자 실명도 공개적으로 특정되지 않았다. 소장에 인용된 1조 9천억 원(19억 달러)의 피해 규모와 3,870만 건의 신용카드 정보 탈취 수치는 FBI의 추정치로, 법원의 최종 심리 결과가 아니다 .