전화가 울린다. 화면에는 ‘엄마’라고 뜬다. 목소리도 익숙하다. 말투도 비슷하다. 다급한 상황이라고 말하며 돈을 보내달라고 한다. 그러나 전화를 건 사람은 가족이 아니다. AI 음성 복제 기술로 가족의 목소리를 흉내 낸 사기범일 수 있다.
구글이 이 문제를 정면으로 겨냥했다. 구글은 2026년 6월 2일 안드로이드의 Phone by Google 앱에 ‘fake call detection’, 즉 가짜 통화 탐지 기능을 도입한다고 밝혔다. 이 기능은 사용자의 연락처에 저장된 번호로 전화가 걸려왔더라도, 실제 그 연락처의 기기에서 발신된 전화인지 확인해 의심스러운 경우 화면에 경고를 띄우는 방식이다.
이번 기능은 단순한 스팸 차단이 아니다. 기존 스팸 차단이 모르는 번호나 알려진 사기 번호를 걸러내는 방식이었다면, 가짜 통화 탐지는 사용자가 믿고 받는 ‘아는 사람의 번호’를 의심 대상으로 삼는다. 이는 보이스피싱과 전화 사기의 전장이 바뀌었음을 보여준다. 사기범은 더 이상 낯선 번호로만 접근하지 않는다. 이제는 가족, 친구, 직장 상사, 금융기관의 번호와 목소리를 동시에 흉내 낸다.
전화 사기의 문법이 바뀌었다
오랫동안 사람들은 발신자 번호를 신뢰의 기준으로 삼아왔다. 모르는 번호는 받지 않고, 저장된 연락처의 전화는 받는 방식이었다. 그러나 이 기준은 더 이상 충분하지 않다. 인터넷 기반 전화 소프트웨어를 활용하면 사기범은 발신번호를 조작할 수 있다. 여기에 AI 음성 합성 기술이 결합되면 피해자는 번호와 목소리라는 두 가지 신뢰 신호를 동시에 속게 된다.
구글이 제시한 사례는 단순하지만 현실적이다. 발신자 표시에는 ‘엄마’가 뜨고, 수화기 너머 목소리도 엄마처럼 들린다. 하지만 실제로는 사기범이 AI 도구로 목소리를 복제해 긴급 상황을 꾸며내고 송금을 요구하는 상황이다. 과거 보이스피싱이 기관 사칭이나 협박형 시나리오에 가까웠다면, AI 딥페이크 사기는 개인적 관계와 감정적 압박을 결합한다.
사칭 사기는 이미 거대한 사회적 비용을 만들고 있다. 미국 연방거래위원회는 2024년 사칭 사기로 인한 피해액이 29억5000만 달러에 달했다고 밝혔다. INTERPOL도 2026년 글로벌 금융사기 위협 평가에서 사기 조직이 디지털 기술, 자동화, 생성형 AI를 활용해 더 정교하고 국경을 넘는 방식으로 진화하고 있다고 경고했다. 전화 한 통의 문제가 아니라, 디지털 신뢰 체계 전체의 문제로 확장되고 있는 것이다.
핵심은 AI 음성 판별이 아니라 ‘진짜 기기 확인’이다
구글의 접근이 흥미로운 이유는 AI 음성 자체를 분석해 진짜와 가짜를 구분하려 하지 않는다는 점이다. 딥페이크 음성 탐지는 기술적으로 가능하지만, 사기범의 기술도 빠르게 발전한다. 목소리가 진짜 같은지 아닌지를 판별하는 방식은 결국 탐지와 회피의 끝없는 경쟁으로 흐를 수 있다.
구글은 다른 길을 택했다. 목소리가 진짜인지 따지는 대신, 그 전화가 실제 연락처의 기기에서 걸려온 것인지 확인한다. 구글은 이를 ‘디지털 핸드셰이크’에 비유한다. 연락처에 저장된 사람이 전화를 걸면, 양쪽 모두 Phone by Google을 사용하고 있을 경우 발신자의 기기가 수신자의 기기로 조용한 확인 신호를 보낸다. 이 신호는 통화가 실제 해당 기기에서 시작됐는지 검증하는 역할을 한다.
이 과정은 RCS, 즉 Rich Communication Services 기술을 기반으로 한다. RCS는 기존 문자메시지를 대체·확장하는 통신 표준으로, 암호화된 메시징과 확인 신호를 지원할 수 있다. 구글은 이 확인 과정이 종단간 암호화된 RCS 기술을 활용하기 때문에 사적인 통화 내용을 노출하지 않는다고 설명했다.
만약 사기범이 연락처 번호를 조작해 전화를 걸면 어떻게 될까. 이 경우 실제 연락처의 기기에서 보내야 할 확인 신호가 없다. 수신자의 기기는 이를 감지하고, 실제 연락처 기기에 다시 확인을 요청한다. 실제 기기가 “나는 지금 전화를 걸고 있지 않다”고 응답하면, 수신자 화면에는 “누군가 연락처 번호를 가장해 전화하고 있을 수 있다”는 취지의 경고가 표시된다. 사용자는 이 경고를 보고 즉시 전화를 끊을 수 있다.
번호 신뢰에서 기기 신뢰로
이번 기능의 의미는 모바일 보안의 기준이 바뀌고 있다는 데 있다. 지금까지 전화 보안은 주로 번호와 통신망 인증에 의존해왔다. 그러나 번호는 조작될 수 있다. 이름도 속일 수 있다. 목소리도 복제될 수 있다. 그렇다면 남는 질문은 하나다. 이 통화가 실제 그 사람의 기기에서 시작됐는가.
구글의 fake call detection은 이 질문에 답하려는 시도다. 이는 전화번호를 신뢰하는 방식에서 기기를 검증하는 방식으로의 전환이다. 사용자가 보는 발신자 이름이 아니라, 발신 기기와 수신 기기 사이의 암호화된 확인 신호가 신뢰의 근거가 된다.
이 변화는 모바일 보안의 방향을 보여준다. 앞으로의 사기 대응은 단순히 “이 번호가 위험한가”를 묻는 데서 멈추지 않을 가능성이 크다. “이 사람이 맞는가”, “이 기기가 맞는가”, “이 통신 경로가 검증됐는가”, “이 행위가 평소 패턴과 일치하는가”를 종합적으로 판단하는 방식으로 이동할 것이다.
기본 활성화, 그러나 조건은 있다
구글은 fake call detection이 기본적으로 켜진 상태로 작동한다고 설명했다. 사용자는 별도 설정을 하지 않아도 보호를 받을 수 있으며, 원할 경우 Phone by Google 앱 설정에서 기능을 비활성화할 수 있다.
다만 한계도 분명하다. 이 기능은 양측이 모두 Phone by Google을 사용해야 제대로 작동한다. 또한 Android 12 이상 기기를 대상으로 하며, 2026년 6월부터 Pixel 기기를 시작으로 전 세계에 순차 배포된다. Phone by Google은 다수의 안드로이드 기기에서 기본 전화 앱으로 쓰이고 있지만, 모든 제조사와 모든 지역에서 동일하게 기본 앱인 것은 아니다. 다른 전화 앱을 사용하는 기기는 사용자가 Play Store에서 Phone by Google을 설치하고 기본 전화 앱으로 설정해야 보호를 받을 수 있다.
이 조건은 이번 기능의 장점이자 약점이다. 장점은 RCS라는 개방형 표준 위에 기능을 설계해 다른 앱과 제조사가 채택할 수 있는 가능성을 열어뒀다는 점이다. 약점은 네트워크 효과가 필요하다는 점이다. 상대방도 같은 생태계 안에 있어야 검증이 가능하다. 즉, 기능의 실효성은 구글 혼자만의 기술 완성도보다 안드로이드 제조사, 통신사, 다른 메시징·전화 앱 사업자의 채택 속도에 달려 있다.
STIR/SHAKEN 이후의 다음 단계
전화번호 사칭을 막기 위한 노력은 이미 존재했다. 대표적인 것이 STIR/SHAKEN이다. 이는 통신망 차원에서 발신번호가 조작됐는지 확인하기 위한 인증 체계다. 구글도 여러 국가에서 STIR/SHAKEN 인증을 통합해왔다고 밝혔다.
그러나 STIR/SHAKEN만으로는 충분하지 않다. 통신망 차원의 번호 인증은 중요하지만, 사기범은 계속 우회 경로를 찾는다. 특히 AI 음성 복제와 연락처 사칭이 결합되면 사용자는 번호가 익숙하다는 이유만으로 전화를 신뢰할 수 있다. 구글의 fake call detection은 이 빈틈을 보완하려는 장치다. 통신망이 아니라 사용자 기기 간의 실시간 확인 신호를 활용해, “번호가 맞는가”를 넘어 “실제 기기가 전화를 걸었는가”를 확인한다.
이는 보안의 층위가 더 촘촘해지고 있음을 뜻한다. 네트워크 인증, 앱 기반 탐지, 기기 간 확인, AI 기반 스팸 분석, 사용자 경고가 함께 작동해야 한다. 사기범이 여러 기술을 결합하는 만큼, 방어 체계도 단일 장치가 아니라 다층 구조가 되어야 한다.
구글의 보안 전략: 메시지, 전화, 기업 인증을 하나로 묶다
구글은 이번 기능을 자사의 장기적 사기 대응 전략의 연장선에 놓고 있다. Google Messages의 AI 기반 스캠 탐지는 악성 문자와 사기성 메시지를 자동으로 식별하는 기능을 제공한다. Phone by Google에는 이미 스캠 콜을 탐지하는 기능이 들어가 있다. Gmail에서는 BIMI를 통해 브랜드 로고와 발신자 인증을 지원한다. RCS for Business에서는 기업 발신자를 검증해 사용자가 어떤 기업과 소통하는지 확인할 수 있도록 한다.
이 흐름을 관통하는 키워드는 ‘검증된 신원’이다. 과거 디지털 커뮤니케이션의 기본값은 신뢰였다. 전화가 오면 번호를 믿었고, 이메일이 오면 발신자 이름을 믿었으며, 문자에 포함된 링크를 클릭했다. 그러나 생성형 AI와 자동화 도구가 확산되면서 신뢰의 기본값은 의심으로 바뀌고 있다. 이제 플랫폼은 사용자가 의심하기 전에 먼저 확인하고 경고해야 한다.
fake call detection은 그중에서도 가장 민감한 영역을 겨냥한다. 전화는 문자나 이메일보다 감정적 압박이 크다. 가족의 목소리, 상사의 긴급 지시, 금융기관의 경고는 사용자의 판단 시간을 줄인다. 따라서 통화 중 실시간 경고는 사기 피해를 막는 데 중요한 방어선이 될 수 있다.
한국 사회에도 남의 일이 아니다
이번 기능은 미국과 글로벌 안드로이드 시장을 겨냥한 발표지만, 한국 사회에도 시사점이 크다. 한국은 보이스피싱 피해가 오랫동안 사회적 문제로 이어져 왔다. 특히 가족 사칭, 기관 사칭, 금융기관 사칭은 반복적으로 등장한 수법이다. 여기에 AI 음성 복제가 결합되면 피해 양상은 더 정교해질 수 있다.
기존의 보이스피싱 예방 교육은 “모르는 번호를 조심하라”, “기관은 돈을 요구하지 않는다”, “의심되면 끊고 다시 걸라”는 방식이었다. 그러나 앞으로는 “아는 번호도 조심하라”는 단계로 넘어가야 한다. 가족 번호로 전화가 오고, 목소리까지 비슷하게 들리는 상황에서는 개인의 주의만으로 피해를 막기 어렵다. 기술적 검증 장치가 필요하다.
특히 고령층, 청소년, 금융 취약계층은 AI 사칭 전화에 더 취약할 수 있다. 보안 기능이 기본 활성화돼야 하는 이유도 여기에 있다. 사용자가 직접 설정을 찾아 켜야 하는 기능은 가장 필요한 사람에게 도달하지 못할 가능성이 크다. 구글이 fake call detection을 기본 활성화 방식으로 설계한 것은 소비자 보호 관점에서 의미가 있다.
한계와 과제
다만 이번 기능이 모든 문제를 해결하는 것은 아니다. 첫째, 연락처 양측이 모두 Phone by Google을 사용해야 한다는 조건이 있다. 상대방이 iPhone을 쓰거나 다른 전화 앱을 사용할 경우, 동일한 방식의 기기 확인이 어렵다. 둘째, RCS 기반 기능이므로 국가·통신사·기기 제조사별 지원 환경에 따라 실제 경험이 달라질 수 있다. 셋째, 사기범은 기술적 방어가 강화되면 다른 경로를 찾을 가능성이 높다. 메신저, 영상통화, 소셜미디어 DM, 악성 앱 설치 유도 등 공격 경로는 계속 변할 수 있다.
또 하나의 과제는 오탐과 사용자 신뢰다. 보안 경고는 너무 적으면 무용하고, 너무 많으면 무시된다. 만약 정상 통화에도 반복적으로 경고가 뜬다면 사용자는 기능을 꺼버릴 수 있다. 반대로 의심 통화를 놓치면 기능에 대한 신뢰가 떨어진다. 구글은 정확도와 사용자 경험 사이의 균형을 맞춰야 한다.
개인정보 보호도 중요한 쟁점이다. 구글은 이 기능이 종단간 암호화된 RCS 기술을 활용하며 통화 내용을 분석하지 않는다고 설명했다. 그러나 사용자는 여전히 “내 통화 정보를 누가 확인하는가”, “연락처 기기 간 어떤 신호가 오가는가”, “이 데이터가 저장되는가”를 궁금해할 수 있다. 기술적 보호 장치만큼이나 투명한 설명과 검증 가능한 정책이 필요하다.
결론: AI 사기 시대, 신뢰는 더 이상 목소리에서 오지 않는다
AI 딥페이크 시대의 가장 큰 위험은 기술 자체가 아니다. 위험은 신뢰의 붕괴다. 가족의 목소리, 친구의 번호, 회사 상사의 지시, 금융기관의 안내처럼 우리가 당연히 믿어온 신호들이 조작될 수 있게 됐다. 사기범은 이제 낯선 사람처럼 다가오지 않는다. 가장 익숙한 사람의 목소리로 다가온다.
구글의 fake call detection은 이 변화에 대한 기술적 응답이다. 핵심은 목소리를 믿지 말고, 번호도 맹신하지 말며, 실제 기기에서 시작된 통화인지 확인하자는 것이다. 이는 모바일 보안의 기준이 발신자 표시에서 기기 인증으로 이동하고 있음을 보여준다.
앞으로의 보안 경쟁은 누가 더 많은 스팸 번호 목록을 갖고 있느냐의 싸움에 머물지 않을 것이다. 누가 더 빠르게 신원을 검증하고, 누가 더 자연스럽게 사용자를 보호하며, 누가 더 넓은 생태계에서 표준을 만들 수 있느냐의 싸움이 될 것이다.
구글은 RCS라는 개방형 표준을 기반으로 이 기능을 설계했다고 강조했다. 이는 다른 제조사와 앱 사업자가 참여할 수 있는 여지를 남긴다. 만약 이 방식이 업계 전반으로 확산된다면, AI 보이스피싱 대응은 개별 앱의 기능을 넘어 모바일 통신 인프라의 기본 보안 계층으로 자리 잡을 수 있다.
전화는 여전히 가장 즉각적이고 감정적인 커뮤니케이션 수단이다. 그래서 사기범에게도 가장 강력한 공격 경로다. AI가 목소리를 훔치는 시대, 사용자를 지키는 방법은 더 이상 귀로만 판단하지 않는 것이다. 이제 신뢰는 목소리가 아니라 검증된 신호에서 와야 한다.
