Tech Ethics

더 안전한 금융거래를 지원하는
‘AI 스미싱 문자 확인’ 서비스

공유하기

스미싱(Smishing)은 휴대폰 문자메시지(SMS)나 SNS로 가족이나 지인, 정부 기관을 사칭해 개인정보를 탈취해 2차 피해를 입히는 범죄입니다. 최근에는 청첩장, 부고, 택배, 배송, 환급금 안내를 흉내내는 등 수법도 점점 고도화되고 있습니다. 규제 당국의 자료에 따르면 '24년 하반기 스팸 메시지 건수는 상반기 대비 2배 가량 증가했습니다. 경찰청은 최근 2년간 스미싱 피해액이 600억 원에 달할 것으로 분석하기도 했습니다.

22년부터 24년까지 스팸 신고 및 탐지 건수가 급증하고 있으며, 스미싱 문자 중 도박과 불법 대출이 주요 유형으로 확인되고 있다는 내용이 막대 그래프와 다이어그램 그래프를 통해 수치와 함께 설명되어 있다.이는 스미싱 대응 정책 및 이용자의 주의가 필요하다는 점을 시사한다.
이미지 새창 열림

스미싱은 단순한 개인 정보 유출이나 소액 사기와 달리 불법 대출을 비롯한 금융 사기와도 연관이 많아 카카오뱅크에서는 AI로 이를 예방할 수 있는 방안을 고민해 왔습니다. 이번 ≪Tech Ethics 16호≫에서는 금융소비자의 자산을 위협하는 스미싱으로부터 고객을 보호하기 위해 카카오뱅크가 AI를 활용해 개발한 기술을 소개해 드리려고 합니다.

 

스미싱 판별 이유도 설명하는 AI 기반 ‘스미싱 탐지 서비스’

카카오뱅크가 이번 서비스를 개발하면서 가장 중점을 둔 부분은 특정 메시지를 스미싱으로 판단하게 된 이유를 한 번 더 자세히 알려주는 기능입니다. 단순히 스미싱 여부만 판별할 경우 이용자가 선뜻 신뢰하기 어렵기에, 덧붙인 판단 근거로 이해도를 높여 해당 정보를 신뢰할지 스스로 결정할 수 있도록 도움을 주고자 했습니다. 최근 생성형 AI 모델들은 사용자 의도를 잘 파악하면서 정보 출처와 이유도 자세히 찾아주고 있어서 신뢰도 높은 판단 근거 생성에 사용해 볼 수 있었기 때문입니다.

카카오뱅크는 단순히 LLM (Large Language Model)을 도입하는데 그치지 않고  정확하게 스미싱 문자를 판별하고 그 이유를 자세히 설명하도록 개발 방향성을 설정했습니다. 필요한 기능을 구현하기 위해 특정 메시지를 스팸으로 판단한 이유가 적절한지에 대해 다방면으로 방법을 검토했습니다.

이 이미지는 스미싱 문자를 판별하는 AI 서비스의 두 가지 형태를 비교하고 있다. 첫 번째 서비스는 사용자가 입력한 문자에 대해 스미싱 여부만 간단히 알려주는 방식으로, 추가적인 설명은 제공하지 않는다. 반면, 두 번째 서비스는 스미싱 여부뿐만 아니라 그 이유와 해커의 의도를 구체적으로 설명하며, 사용자가 상황을 명확히 이해할 수 있도록 돕는다. 이를 통해 단순한 판단보다 상세한 설명이 제공되는 서비스가 사용자에게 더 신뢰를 주고 경각심을 높이는 데 효과적임을 보여준다.
이미지 새창 열림
효율적 LLM 최적화로 스미싱 탐지 고도화

스미싱 탐지의 핵심인 자체 LLM은 성능 향상과 비용 절감을 모두 달성할 수 있는 LLM 최적화(Adaptation)를 통해 개발되었습니다. 이 과정에서는 월간활성이용자수(MAU) 1,800만 명이 넘는 카카오뱅크 앱 환경에 맞게 수준 높은 성능뿐만 아니라, 효율적인 자원 관리와 빠른 서비스 응답속도를 확보해야 했습니다. 이를 위해 한국어에 능통한 LLM을 선택 후, 자체 데이터로 핵심 파라미터를 선별해 업데이트 하는 효율적인 접근법(Efficient Fine-tuning)을 시도했습니다.

이 이미지는 LLM(Large Language Model)을 활용하는 두 가지 접근 방식인 Prompt Engineering과 Efficient Fine-tuning을 비교하고 있다. Prompt Engineering은 사전 학습된 모델에 간단한 프롬프트를 입력해 문제를 해결하는 방식으로, 추가적인 데이터나 모델 조정 없이 간편하게 사용할 수 있다는 장점이 있다. 반면, Efficient Fine-tuning은 특정 작업에 맞춘 데이터를 활용해 모델을 미세 조정하여 더 높은 전문성과 정확도를 제공하며, 주로 도메인에 최적화된 결과를 목표로 한다. 이를 통해 두 접근 방식은 간편성과 전문성이라는 각기 다른 강점을 지니며, 사용 목적에 따라 선택이 가능함을 보여준다.
효율적인 스미싱 탐지를 위한 LLM 최적화 과정
이미지 새창 열림

초기 학습 데이터는 크라우드 소싱, 구매, 직접 수집 등 여러 방법을 병행해서 구축했으며 과적합(Overfitting)을 유발하는 유사 데이터는 제거해서 정제했습니다. 메시지를 스미싱으로 판단하는 근거는 스미싱의 정의, 원리, 예시, 예방 방법 등을 상세하게 담은 지시문을 별도 LLM에 프롬프트로 입력하여 생성하도록 하는 Pseudo Labeling(준지도 학습:Semi-supervised learning)을 위한 세부 기법 중 하나로, 레이블이 없는 데이터에 대해 모델이 예측한 결과를 마치 실제 레이블인 것처럼 활용하여 모델을 다시 학습시키는 방법)을 수행했습니다. LLM 파라미터 업데이트는 4비트로 모델을 경량화 한 상태에서, 주요 연산 모듈(Attention) 일부 레이어에 매우 적은 양의 추가 파라미터를 학습하는 방식을 적용했습니다.

이 이미지는 스미싱 판단 근거를 생성하고 이를 학습시키는 모델 구조를 설명한다. 먼저, 스미싱 관련 정보(정의, 원리, 예시, 예방 방법)를 바탕으로, 주어진 문자가 스미싱인지 여부와 그 판단 이유를 명확히 기술하는 판단 근거 label을 생성한다. 이렇게 생성된 데이터를 한국어 LLM에 적용하여 스미싱 여부를 학습시키고, Quantized Weights를 활용한 Efficient Fine-tuning으로 모델의 효율성과 성능을 동시에 높인다. 이를 통해 스미싱 판단 모델은 단순 판단을 넘어 근거 기반의 정교한 분석 능력을 갖추게 된다.
이미지 새창 열림

스미싱 탐지와 판단 근거 제공을 성공적으로 평가하기 위해서는 예측 결과물에 대한 다방면 검증과 보완이 가장 중요했습니다. 이에 따라 정탐과 오탐을 동시에 고려할 뿐만 아니라, 판단 근거 적절성을 평가하기 위해 다방면의 지표를 통해 성능을 검증했습니다. 

이 이미지는 LLM(Large Language Model)이 생성한 결과를 다방면으로 평가하는 과정을 설명한다. 먼저, 결과의 정확도를 평가하고, 이를 정답 문장과 비교하여 생성된 응답의 신뢰성을 확인한다. 이후, LLM 기반 지표를 통해 모델 자체의 성능을 분석하고, 최종적으로 사람이 직접 정성적으로 평가하여 결과의 품질을 종합적으로 판단한다. 이러한 단계적 평가 과정을 통해 LLM의 성능을 다각적으로 검증하고, 보다 신뢰도 높은 모델 개발을 지원한다.
이미지 새창 열림

일반적으로 알려진 유사도 기법(두 개의 데이터 포인트 간의 유사성을 측정하는 방법. 주로 자연어 처리 분야에서 사용되며, 텍스트 요약 및 번역 품질을 평가하는 데 활용됨. BLEU, ROUGE, BertScore 등의 기법이 있음)을 활용하여 생성된 문장을 정답 문장과 비교하여 평가했습니다. 이외에도 논리성, 일관성, 유용성, 형식 준수 등을 구체적으로 정의하고 외부 LLM으로 수치화하는 절차도 추가했습니다. 자동화된 평가 수치를 보완하기 위하여 평가자 2명이 직접 정성평가를 수행하고, 평가결과의 신뢰성을 담보하기 위하여 평가결과 일치여부를 검증하였습니다. 

카카오뱅크는 고품질 데이터 확보, 평가 방법 정의 및 Fine-tuning를 바탕으로 스미싱 탐지와 판단 근거 생성까지 가능한 LLM을 완성하였습니다. 자체적인 정량평가와 정성평가에 따르면 카카오뱅크가 이번 서비스에 개발한 모델의 성능은 GPT-4와 GPT-4o의 탐지 정확도를 능가할 뿐만 아니라 환각 증세로 인한 판단 근거 오류는 현저하게 적은 수준을 달성했습니다.

이 이미지는 스미싱 탐지 모델의 성능을 평가하는 방법과 결과를 보여준다. 먼저, 정량 평가에서는 BLEU, ROUGE, 정확도 등 다양한 지표를 통해 GTP-3.5, GTP-4, GTP-4o, 그리고 커스텀 학습 모델 간의 성능 차이를 비교하며, 커스텀 학습 모델이 전반적으로 더 높은 성능을 보임을 확인한다. 정성 평가에서는 은행 사칭 스미싱 메시지를 사례로, GTP-4o와 커스텀 학습 모델이 제공하는 판단 근거와 설명을 비교하며, 커스텀 학습 모델이 더 명확하고 구체적인 설명을 제공함을 설명한다. 이를 통해 커스텀 학습 모델이 정량적 지표뿐만 아니라 정성적 평가에서도 높은 수준의 신뢰성과 정확성을 갖추고 있음을 보여준다.
이미지 새창 열림
지속적인 학습과 개선으로 발전시킨 스미싱 대응 기술

이렇게 자체적으로 면밀한 과정을 거쳐 LLM을 완성했지만, 이용자가 불편함 없이 완벽하게 서비스를 이용하기 위해서는 더 많은 준비와 노력이 필요했습니다. 안정적이면서도 수준 높은 서비스 품질을 만족시키기 위한 준비 과정 중 미리 예상하지 못한 점들과 추가적으로 고민하고 해결해야 할 기술적 난제에 직면하기도 했습니다.

연구와 서비스 개발이 진행되는 기간 중 새롭게 등장하는 스미싱 유형에 대응하는 것도 이러한 대표적 난제 중 하나였습니다. 신규 스미싱 메시지는 생활과 밀접한 내용의 문자를 일부 변형하는 등 교묘한 수법을 활용하여 속이려는 의도를 탐지하기 어렵게 발전했습니다. 2023년부터 유행하기 시작한 부고장과 청첩장 스미싱은 내용 특성상 가족과 지인들에게 재전송을 유도해 더 많은 피해를 일으킨 사례도 있었습니다. 올해에는 메신저 ID를 언급하며 외국인이나 관광객을 사칭하는 문자들이 갑자기 급증해서 학습 데이터에 신속히 반영하기도 했습니다. 이처럼 형태가 진화하는 트렌드가 반영될 수 있게 최신 사례 수집과 데이터 축적을 꾸준히 해야했습니다.

이 이미지는 2018년부터 2024년까지 스미싱 유형 트렌드의 변화를 설명하고 있다. 초기에는 자녀 사칭이나 허위 결제 인증처럼 개인적인 관계와 금전적 위기를 악용한 사례가 주를 이루었으며, 2020년 이후 코로나19와 관련된 공공 정보를 가장한 스미싱이 등장하여 사회적 혼란을 노렸다. 이후 2022년부터는 택배 배송 확인, 공공기관 사칭 등 실생활 밀접 영역으로 확장되었고, 2024년에는 메신저 ID 추가 요청 같은 디지털 신분 확인을 가장한 형태로 진화하였습니다. 이를 통해 스미싱은 시대적 상황과 기술 변화에 따라 점점 더 정교하고 다양해지고 있음을 보여준다.
이미지 새창 열림

탐지 정확도를 보완하는 과정에서 정상적인 광고성 문자와 불법 스팸 문자(불특정 다수에 대량으로 전송되는 메시지) 구분이 중요해졌습니다. 특히, 광고 문자는 정상적인 마케팅 활동을 포함하고 있어서 유형과 범위가 훨씬 다양했습니다. 반면, 명확한 수신 동의 없이 무차별하게 전송되는 악성 스팸 문자는 비합법적인 내용을 포함하고 있는 경우가 많기 때문에 스미싱과 유해도가 비슷하다고 볼 수 있습니다. 이러한 상황을 반영해 고객에게 더 유익한 서비스가 될 수 있도록, 탐지 대상에 불법 스팸 문자를 포함시켜 스미싱 범위를 재정의했습니다.

이 이미지는 스미싱 메시지와 스팸 메시지의 예시를 비교하고 있다. 왼쪽의 스미싱 메시지는 택배 배송 지연을 가장하여 사용자가 링크를 클릭하도록 유도하며, 주로 개인정보나 금전적인 피해를 목적으로 한다. 반면 오른쪽의 스팸 메시지는 주식 관련 정보를 제공하는 것처럼 보이나, 광고 성격이 강하며 악성 링크일 가능성이 높다.
이미지 새창 열림

그 밖에 악의적이거나 문자 메시지 범주에 해당하지 않는 내용(욕설, 폭언 등)이 유입되었을 때 입력을 필터링하는 조치가 필요했습니다. 필터링은 별도의 금칙어 탐지 API를 통해 수행하였으며, 이에 해당하는 경우 미리 지정된 형태의 답변이 제공되도록 했습니다. 최신 문자 유형과 사기 수법을 수집해 수시로 모델을 재학습했고, 스미싱을 정상으로 오탐하는 경우를 최소화하는 방향으로 정확도를 지속적으로 개선하고자 하였습니다.

 

사용자 편의성과 규제 준수를 동시에 고려한 서비스 개발

카카오뱅크의 모든 대고객 서비스는 금융 서비스이기에 편리함뿐만 아니라 관련 규제를 세심하게 지켜야 했습니다. 그중에서도 개인정보보호와 관련된 지침을 우선 준수했습니다. 초기 기획 단계에서 사용자의 편리함을 고려하여 수신한 모든 문자에 대해 자동적으로 스미싱 여부를 알려주는 방향으로 논의되었습니다. 하지만 개인정보를 보호하기 위한 안전 지침들을 수용하여 사용자가 직접 복사 및 붙여넣기 하는 방식으로 기획안을 수정했습니다. 금융 AI 서비스 구현 과정은 성능 및 편의성 만족과 고객 권리를 모두 충족하기 위해 반복 검증을 거쳐야만 했습니다.

이 이미지는 AI 스미싱 문자 확인 서비스를 사용하는 절차를 보여준다. 이용자는 의심스러운 메시지를 복사한 뒤, 앱의 AI 스미싱 문자 확인 메뉴에서 메시지를 붙여넣어 AI로 분석을 요청할 수 있다. 분석 결과는 스미싱 여부와 그 가능성에 대해 안내하며, 추가 확인이 필요할 경우 관련 조치를 제안한다.
이미지 새창 열림

최종 인터페이스도 고객 보호를 위한 규제와 원칙을 준수하여 구성했습니다. 먼저, 고객이 제공하는 정보에 대한 권리를 보장하고 이를 보호하는 것을 최우선으로 했습니다. 이를 위해 이용자가 카카오뱅크 앱에서 ‘AI 스미싱 문자 확인’ 서비스를 처음 사용할 때 모델학습 활용 여부를 바로 고지하고 선택할 수 있게 했습니다. 또한, 모든 안내 메시지는 사용자 경험(UX)을 반영해 친숙하고 쉬운 문체로 가다듬었습니다.

이 이미지는 AI 스미싱 문자 확인 서비스를 이용할 때 제공되는 주요 안내 정보를 보여준다. 이용자는 의심스러운 메시지를 붙여넣기 전에 개인정보 보호와 AI 학습 데이터 활용에 대한 사전 동의 과정을 거친다. 마지막으로, 분석 결과는 사용자 경험(UX)을 반영하여 스미싱 가능성을 안내하며, 추가 확인이 필요한 경우 구체적인 조치를 제안한다.
이미지 새창 열림

이후에도 서비스 출시 직전까지 최신 데이터 확보, 파라미터 탐색을 통한 성능 개선과 서비스 안정화를 위한 작업을 진행했습니다 내부 테스트에서 임직원들로부터 다양한 유형의 문자를 제보받았고, 이를 데이터 보강 작업에 활용하였습니다. Fine-tuning에서는 적합한 파라미터 조합을 찾기 위해 셀 수 없이 많은 실험을 수행했고 모델의 예측값을 조합하여 사용했습니다. 또한, 후처리 과정을 통해 최종 생성된 답변 품질을 높이면서 복수 모델을 활용한 유량 제어로 안정적인 TPS(Transactions Per Second) 수준의 서비스를 제공하고자 노력했습니다. 이러한 시행착오를 반복하면서 최적의 해법들을 찾아낸 끝에 ‘AI 스미싱 문자 확인 서비스’는 완성될 수 있었습니다.

이 이미지는 금융 AI 서비스를 출시하기 위한 반복적 프로세스를 설명한다. 초기 단계에서 아이디어와 PoC(개념 증명)를 개발하고, 법률 검토와 기획을 거쳐 AI 모델을 적용한 서비스를 개발한 후, 내부 베타 배포와 사용자 피드백을 수집한다. 이후 데이터 보강과 모델 재학습을 통해 지속적으로 개선하며, 최종적으로 완성된 서비스를 시장에 출시하는 과정을 거쳐야 한다.
이미지 새창 열림

스미싱 유형은 계속해서 변화하기 때문에 ‘AI 스미싱 문자 확인’ 서비스 출시 이후에도 지속적인 관리와 업데이트가 필요합니다. 카카오뱅크 AI 기술을 책임지고 있는 안현철 최고연구개발책임자(CRDO)는 “앞으로도 사용자가 편리하면서도 안전한 금융생활을 누리는 데 도움이 될 수 있는 AI 서비스 개발 노력을 지속하겠다.”고 강조했습니다.

공유하기
#설명#스미싱#스팸#카카오뱅크#탐지
목록 보기
추천 콘텐츠