센티링크는 AI를 사용하여 신원 위조를 비롯한 새로운 금융 범죄에 맞서 싸우도록 지원한다. 그러나 정말 중요한 핵심은 인간의 통찰이다.
2018년 여름과 가을, 플로리다 출신의 40대 초반 하산 하킴 브라운은 자신이 만든 가짜 회사와 신원으로 온라인 대출을 신청했다. 절반의 성공이었다. 텍사스에 있는 한 은행으로부터 100만 달러가 넘는 돈을 챙겼지만, 브라운이 노린 일부 은행들은 샌프란시스코 소재 스타트업 센티링크의 소프트웨어를 활용하여 브라운의 대출 신청을 수상한 활동으로 표시했다. 같은 주소에 너무 많은 주민등록번호가 연관되어 있었기 때문이다.

당시 브라운은 신원 위조를 하고 있었다. 진짜 주민등록번호를 훔쳐 지어낸 이름과 짝지은 것이다. 브라운은 나중에 이 수법을 발전시켜 애틀란타의 컴퓨터 컨설턴트로부터 장비를 구입하여 IP 주소가 다른 가상 데스크톱 여러 대를 동시에 관리함으로써 특정 사기 방지 기술을 피했다.

2020년 초 코로나19가 유행하면서 의회가 어려운 기업들에 급여 보호 프로그램 대출을 수천억 달러 규모로 내주고 있을 때 브라운은 준비를 마쳤다. 연방법원 기록에 따르면 브라운과 공범 6명은 700개가 넘는 가짜 신원을 관리하며 수십 개 유령 회사와 관련 은행 계좌를 보유했다. 이 집단은 중소기업청과 여러 은행 등으로부터 2000만 달러가 넘는 부당 이득을 챙겼다. 브라운은 60개월 형을 선고받았다.

브라운이 훔치느라 바쁜 사이 센티링크의 공동 설립자 나프탈리 해리스(31)와 맥스웰 블루멘펠드(31)도 신원 위조에 관심을 갖고 성장성이 뛰어난 틈새 사업을 일찍부터 포착했다. CEO인 해리스는 “모두가 처음에는 이런 식의 사기가 불가능하고, 우리가 뭔가를 잘못 생각한 것이라고 했다”고 말했다.

포브스의 추산에 따르면 지난해 해리스와 블루멘펠드의 설립 6년 차 스타트업은 전년 대비 2배가 넘는 2500만 달러 매출을 올렸다. 300곳이 넘는 고객사 중에는 미국 대형 은행 15개 중 7개, 대형 신용조합 10개 중 6개, 주요 핀테크 기업인 램프와 플레이드 등이 있다. 피치북에 따르면 센티링크는 2021년 7월 4억3000만 달러 가치를 평가받고 7000만 달러 투자를 받았다. 해리스는 회사가 한 달에 100만 달러만 지출하고 있으며 앞으로 5년 이상 추가 투자 없이 운영할 수 있는 자금을 보유했다고 말했다. 해리스와 블루멘펠드는 2020년 포브스 30세 이하 30인에 선정되었으며, 올해 센티링크는 포브스가 매년 혁신적인 비상장 핀테크 스타트업을 선정하는 핀테크 50대 기업 목록에 이름을 올렸다.

잠재적 사기시도의 패턴을 찾아낸다

센티링크 사업에서 핵심은 당연히 인공지능이다. 그러나 해리스와 블루멘펠드는 처음으로 신원 위조를 알아낸 방식에서 중요한 교훈을 얻었다. 컴퓨터가 아니라 인간이 중요한 연결고리를 찾아낸다는 것이다. 2016년 8월 두 대학 친구는 후불제 구매 스타트업 어펌에서 데이터과학자로 일하고 있었다. 해리스의 팀은 대출을 승인 또는 거부하는 모델을 만들고 있었다. 블루멘펠드의 일은 사기를 찾아내는 것이었다. 어느 날 블루멘필드는 이름과 생년월일이 같지만 주민등록번호가 다른 대출 신청자 두 명을 발견했다. 컴퓨터에서 그 이름을 검색해보니 이름과 생년월일이 같으면서 주민등록번호가 다른 대출 신청자가 12명이나 있었다. 더 충격적인 사실은 12명 모두 신용조사 기관에 등록되어 있고 700점이 넘는 우수 신용점수를 보유하고 있었다는 것이다. 한 사람은 한도가 2만 달러인 신용카드를 가지고 있었고, 어떤 사람은 개인 대출을 3만5000달러나 받은 상태였다. 또 다른 사람은 8만 달러짜리 BMW를 구매할 목적으로 대출을 받았다.

해리스는 당시 “이건 말도 안 된다. 이 사람들은 존재하지도 않는데 속임수로 신용보고서를 받아냈다”고 생각했다. 같은 이름과 생년월일을 쓰는 것은 어리석었지만, 전략 자체는 영리하고 끈질겼다. 사기꾼들은 어린이, 죄수, 요양원 거주자 등 경제활동을 활발하게 하지 않을 법한 사람들의 주민등록번호를 훔쳐 가짜 이름, 진짜 주소와 결합했다. 그런 다음 예금 계좌를 개설하고 대출과 신용카드 대금을 적시에 납입하여 신용 기록을 쌓았다. 그 결과 갚지 않을 거액의 대출을 받기에 충분한 신용 기록이 만들어졌다. 이런 수법은 이제 버스트 아웃(bust out)이라 불린다.

그러나 해리스와 블루멘펠드가 처음 이를 알게 됐을 때 이런 사기 유형은 전문가에게도 잘 알려져 있지 않았다. 해리스는 “사람들은 기관이 모든 미국인의 정확한 신용정보를 가지고 있으며, 신원에 기관 정보가 있다는 것만 확인하면 이런 일은 불가능하다고 했다”고 돌이켰다. 하지만 가능했다. 그리고 지금도 가능하다. 지난해 인증받은 사용자가 주민등록번호와 이름을 이중으로 확인하도록 지원하는 연방 데이터베이스(센티링크도 사용한다)가 나왔지만 여전히 그렇다.

현재 78명이 근무하는 센티링크에서는 전일제 근로자 8명이 수동으로 잠재적인 사기 시도를 검토하고 있으며 최소 일주일에 한 시간을 들여 사례들을 살펴보며 새로운 패턴을 찾아낸다. 신종 사기 수법이나 심지어 자격이 되는 신청자가 알고리즘에 의해 부당하게 거부당하는 사례를 찾아내는 것이다. 최고운영책임자로서 센티링크의 연구개발을 이끄는 블루멘필드는 “이런 것을 AI가 혼자 알아서 찾아낸다는 큰 오해가 있다”며 “우리의 AI 모델은 인간이 할 법한 행동을 모방하기만 한다. 단지 그 규모가 굉장히 빠르게 확장될 뿐”이라고 말했다.

지금까지는 독창성과 속도가 두 사람의 성공을 위한 열쇠였다. 해리스는 로스앤젤레스에서 자랐으며, 그의 아버지는 서던캘리포니아대 금융학과 교수였다. 억만장자 후원자 마이클 밀켄의 이름을 따서 지은 유대인 학교 밀켄커뮤니티 스쿨에서 고등학교 수학, 영어, 스페인어 4년 과정을 3년 만에 마쳤다. 해리스는 고등학교에 진학하지 않고 우수 대학 10여 곳에 지원햇다. 시카고대를 비롯해 5개 학교에서 합격 소식이 날아왔다. 시카고대에 다닌 지 며칠 만에 미술 교사와 조세 전문 변호사의 아들인 블루멘펠드를 만났다.

해리스는 시카고대를 3년 만에 졸업하고 통계학 학사를 취득한 뒤 스탠퍼드에서 박사학위 과정을 시작했다. 그러나 지나치게 이론적이라고 생각해 통계학 학사학위에서 멈췄다. 2014년 6월 어펌의 공동 설립자 맥스레브친이 해리스를 설득해 회사의 첫 데이터과학자로 영입했다. 레브친은 해리스가 “아주 원칙 중심의 사고를 한다. 뭐든 당연하게 받아들이지 않고 백지 상태에서 평가하며 수학적으로 능력이 대단히 뛰어났다”고 말했다. 블루멘펠드는 6개월 뒤 어펌에 입사했다.

2017년 3월, 가짜 신원 사기를 처음 접한 지 7개월이 지난 시점에 해리스와 블루멘펠드는 이와 관련된 회사를 설립하기로 결정하고 시드 펀딩으로 57만5000달러를 투자받았다. 30만 달러는 댈러스의 벤처캐피털 업체 골드크레스트에서 받았으며 나머지는 대부분 레브친의 자금이었다. 두 사람은 샌프란시스코의 지저분한 곳에서 창문 없는 지하실에 사무실을 차렸다. 블루멘펠드는 “당시 구할 수 있는 가장 저렴한 사무실이었다. 그리고 사기와 맞서 싸우는 회사는 지하실이어야 할 것만 같았다”고 말했다.

특정 행동을 알고리즘에 코딩

유용한 사기 평가 모델을 구축하려면 고객 데이터가 아주 많이 필요하다. 두 사람은 영리한 방법을 찾아냈다. 대출업체로부터 수백만 달러 규모의 부채 탕감 데이터를 약 1만 달러에 구매했다. 이를 통해 파산한 대출자에 대한 신용보고서를 확보하고 명확한 패턴을 찾았다. 그리고 특정 행동을 알고리즘에 코딩하기 시작했다. 누군가가 한 달 전에 만들어진 이메일 주소로 신청하거나 물리적 주소와 다른 위치의 IP 주소를 사용하는 경우 위험 인물로 표시된다.

분주히 모델을 만드는 사이 그런 모델을 찾는 수요는 커져갔다. 조사업체 에이트 노바리카는 가짜 신원으로 인한 미국 금융기관의 손실이 2017년 8억 달러에서 지난해 최소 24억 달러로 3배나 증가했다고 추산했다. 또 에이트 노바리카는 일부 대출업체가 가짜 신원인지 모르고 부채를 탕감하는 경우도 있기 때문에 실제 손실은 추산액의 두 배 이상일 수도 있다고 덧붙였다. 게다가 에이트 노바리카는 규모가 큰 피해자인 정부, 통신사, 온라인 도박 사이트의 손실은 추산에 포함하지 않았다.

2019년 해리스와 블루멘필드는 마침내 첫 대형 은행 고객을 유치했다. 아마존과 JC페니에서 제공하는 신용카드의 운영사인 소비자 대출 전문 업체 싱크로니다. 그해 센티링크는 처음으로 대규모 투자를 받았다. 앤드리슨 호로비츠, 펠리시스 벤처스 등에서 140만 달러를 유치했다. 투자사 중 하나인 벤처투자업체 NYCA의 한스 모리스 총괄 파트너는 모범생 같아 보이는 두 남자가 금융서비스 업체 임원들을 쥐락펴락한다며 “너무 모범생 같아서 신뢰를 받고 매력을 발산한다”고 말했다.

매력이 있든 없든, 두 사람이 문제를 제대로 포착한 것은 분명하다. 위협으로서 커지고는 있지만 아직 이 분야의 대기업들이 좋은 모델을 만들 정도로 주류는 아닌 사기 수법이다. 그러다가 팬데믹이 찾아왔다. 전자상거래가 급증하고 연방정부가 돈을 풀자 사기범들과 센티링크 모두에게 득이 됐다. 센티링크의 고객사는 2019년 12월 12개에서 2020년 말 45개로 늘었다. 지난해에는 고객을 대상으로 신원 검사 3억2300만 건을 수행했는데, 2021년에는 1억4800만 건이었다. 데이터를 많이 처리할수록 모델이 더 잘 학습하고 매출도 증가한다. 많은 고객이 신원 검사 건당 고정 라이선스 수수료와 사용료를 지불하기 때문이다.

센티링크는 위조 신분을 넘어 구식 수법인 신원 도용과 자기 신분 사기(자신의 실제 신원을 사용해서 돈이나 상품을 받고 대가 지불을 회피하는 수법)까지 서비스를 넓혔다. 해리스는 위조 신분 고객의 절반 이상에게 두 번째, 세 번째 상품도 판매할 수 있었으며 매출의 60% 정도는 새로운 영역에서 발생한다고 말했다.

이런 성장에도 불구하고 센티링크는 사기 방지 시장에서 극히 일부분만 차지하고 있다. 경쟁사인 신용조사 업체 익스페리언은 이 시장 규모가 연간 150억 달러에 달할 것으로 추산한다. 실제로 일부 은행들은 동시에 10개 사기 방지 업체에 일을 맡기고 있다. 익스페리언, 렉시스넥시스, 핀테크 유니콘 소큐어 같은 업체들은 모두 센티링크보다 폭넓은 서비스를 제공한다.

또 다른 난관도 있다. 사업은 빠르게 변한다. 범죄자들은 사기 방지 모델이 확산됨에 따라 계속해서 새로운 수법을 고안한다. 싱크로니의 최고신용책임자 맥스 액슬러는 “이 분야에서는 자기가 누구보다도 낫다고 하는 회사를 1년에 1000개는 본다”고 말했다. 해리스와 블루멘필드는 경쟁사든 범죄자든 따라잡기 위해서는 계속 발전해야만 한다.

- 공동 설립자 나프탈리 해리스(왼쪽)와 맥스웰 블루멘펠드가 유타주 파크시티의 센티링크 휴게실에서 사진 촬영에 응했다. 두 사람은 직원의 원격근무를 허용한다. 현재 텍사스주 오스틴에 거주한다.

※ How To Play It
핀테크 기업은 이제 인공지능을 활용하여 사기 범죄에 맞서고 있다. 이런 트렌드를 가장 잘 활용하는 방법은 엔비디아를 선택하는 것이다. 이 기업은 AI를 가능케 하는 고성능 컴퓨터의 기반 기술을 개발한다. 캘리포니아 새너제이에 자리한 이 회사는 전체 AI 스택, 최고급 하드웨어, 널리 사용되는 AI 소프트웨어 개발 플랫폼인 CUDA를 보유하고 있다. 스웨덴의 한 최대 규모 은행은 2021년 엔비디아 기술을 사용하여 사기 및 자금 세탁을 탐지하기 시작했다. 엔비디아는 지난 2월 AI가 변곡점에 도달했으며 모든 업계로부터 광범위한 관심을 받고 있다고 보고했다. 강력한 성장 궤적이 18개월 이내에 주가를 현재보다 16% 높은 350달러로 끌어올릴 것이다.

※ 스팸은 문자가 대세
2022년 스팸 차단 앱 트루콜러의 추산에 따르면 미국인들은 전화 사기로 인해 매년 400억 달러에 가까운 손해를 본다. 사기 전화는 2019년에 정점에 달했다. 규제 당국과 통신사가 대응에 나서고 사람들이 전화를 받지 않기 시작하면서 사기꾼들은 대신 문자를 보내기 시작했다.

- JEFF KAUFLIN 포브스 기자

위 기사의 원문은 http://forbes.com 에서 보실 수 있습니다.

포브스 코리아 온라인 서비스는 포브스 본사와의 저작권 계약상 해외 기사의 전문보기가 제공되지 않습니다.

이 점 양해해주시기 바랍니다.