신고는 데이터를 만들 뿐, 결과를 만들지 않는다

피싱 신고 생태계는 분명히 가치 있다. 공개 신고는 스캠 인텔리전스의 가장 초기 신호 중 하나이고, 금전 피해가 없는 신고조차도 공격자의 전술, 인프라, 캠페인 패턴을 파악하는 데 도움이 된다.

문제는 그 다음에 일어나는 일이다. 대부분의 신고 시스템은 접수와 분류를 위해 설계되어 있지, 빠른 운영적 개입을 위해 만들어진 게 아니다. 신고는 통계나 인식 제고에 유용할 수 있지만, 그 어떤 결과도 자동으로 피싱 사이트를 삭제하거나 스캠 번호를 차단하지는 않는다.

증거 문제는 첫 번째 클릭부터 시작된다

사람들은 신고할 때 거의 항상 지저분한 형태로 정보를 제출한다. 스크린샷, 메시지 조각, 단축 링크, 의심스러운 발신번호, 혹은 무슨 일이 있었는지에 대한 짧은 서술. 이런 것들은 포렌식 증거로 쓸 수 있는 형태가 아니다.

스미싱 연구에 따르면 공개 신고의 상당수가 깔끔한 포렌식 증거가 아닌 불완전하거나 노이즈가 많은 아티팩트를 포함하고 있다. 음성 스캠의 경우 증거는 더 빈약한데, 스푸핑된 번호와 기억 속의 대화 내용이 전부인 경우도 많다.

게다가 스캠 아티팩트는 휘발성이 강하다. 누군가가 보존하기 전에 사라져버릴 수 있다.

신고와 대응 사이에 검증이 있어야 한다

여기서 핵심이 등장한다. 의심스러운 신고가 실제 대응 가능한 케이스가 되려면 세 가지가 함께 이루어져야 한다.

첫째, 사용자가 왜 이 콘텐츠가 위험한지 설명을 받아야 한다. 둘째, 증거가 원본 신고보다 구조화된 형태로 정규화되어야 한다. 셋째, 신호가 활성 외부 인프라를 가리킬 때 케이스가 에스컬레이션에 적합한 상태가 되어야 한다.

기존 신고 포털은 유용한 데이터를 수집하지만, 대개 스캠 패턴의 추론 근거를 설명하지 않고, 대응 속도를 높이는 방식으로 케이스를 준비하지도 않는다. 검증은 날것의 신고와 실행 가능한 대응 사이의 다리다.

루프의 두 번째 절반이 왜 중요한가

신고가 피싱 사이트를 묘사할 수 있지만, 그 배후의 캠페인은 소셜 플랫폼에서의 사칭, 복제된 앱, 스캠 번호, 이전 공격에서 재사용된 인프라도 포함할 수 있다. 사이트가 삭제되더라도 소셜 유인, 스캠 번호, 연관 도메인이 살아있으면 공격자는 여전히 작동하는 옵션을 가지고 있다.

피싱 인프라는 단순히 문서화되는 것이 아니라, 빠르게, 그리고 채널 전반에 걸쳐 제거되어야 한다.

진짜 핵심 질문

팀에서 스캠 신고 프로세스가 있다고 말한다면, 다음 질문은 간단하다. 신고가 접수된 후 무슨 일이 벌어지는가?

답이 모호하다면, 그 프로세스는 아직 완성되지 않은 것이다.

신고는 검증, 증거 보존, 그리고 인프라 제거로 이어지는 루프에 연결될 때만 효과적이다. 신고 자체가 충분한 통제 수단이라는 오래된 생각은 이제 바뀌어야 한다.

본 글은 Cyberoo Insights의 원문을 한국어로 번역·정리한 글입니다. 원문: Why Scam Reporting Alone Fails