지역 고등교육 기관들은 AI를 무기로 삼아 시스템에 침투하는 사기꾼들을 막기 위해 치열한 접전을 벌이고 있습니다. 일부 기관들은 AI 방어 전문 업체부터 새로운 진입 장벽, 수작업 지원서 검토에 이르기까지 사기꾼들을 차단하기 위한 새로운 조치를 시행하고 있습니다.
캘리포니아 커뮤니티 칼리지 시스템을 공격해 온 "유령 학생" 사태가 전국으로 확산되고 있으며, 애리조나, 인디애나, 오리건, 뉴저지, 미시간 주의 대학들은 학교로 돌아가는 정상 학생들 사이에 끼어들려는 AI 기반 사기단으로부터 기관을 보호하기 위해 노력하고 있습니다.
합성(Synthetic ) 학생 또는 "유령(ghost) 학생"은 사기꾼들이 대학 지원 및 등록 포털에 단 몇 분 만에 수천 건의 제출물을 쏟아붓기 위해 사용하는 위조 또는 도용된 신원 정보를 의미합니다. 이는 주로 공휴일, 주말 또는 입학 담당자가 한산한 시간에 이루어집니다. 사기가 성공하면 사기단은 가짜 학생을 등록하고 재정 지원을 신청하여 필요한 수업에 자리를 얻지 못하는 진짜 학생들을 압박하는 경우가 많습니다. 유령을 조종하는 이들은 수업에서 탈락하지 않기 위해 AI를 사용하여 숙제를 제출하는 방법까지 동원합니다. 때로는 대학 이메일 주소만으로도 사기를 칠 수 있습니다. 하지만 보안 전문가들은 이메일 주소조차도 가치가 있으며, 사기꾼들에게 대학생이라는 정당성을 부여한다고 말했습니다. .edu로 끝나는 간단한 이메일 주소는 노트북, 소프트웨어, 음악 스트리밍 서비스 할인 혜택을 제공할 뿐만 아니라, 사기꾼들이 학생 신분을 도용하여 기업에 부정하게 지원할 수 있도록 하는 중요한 수단입니다.
교육부는 6월 대학 신원 도용 근절을 위한 전국적인 프로그램을 시작했으며, 2025년 가을 학기 시작을 앞두고 새로운 신원 확인 절차를 의무화했습니다. 교육부는 부적격 학생들에게 9천만 달러가 지급되었으며, 그중 3천만 달러는 사망한 사람의 신원 도용에 사용되었습니다.
기술 회사 N2N Services와 전국 대학에 유령 학생 방지를 위해 도입된 LightLeap.AI 플랫폼의 설립자인 키란 코디탈라는 캘리포니아 커뮤니티 칼리지 시스템에서 75개 대학과 120만 건의 지원서를 기준으로 부정 학생 비율이 약 26%라고 밝혔습니다. 캘리포니아 외 지역에서 LightLeap 시스템은 지원서 5건 중 1건이 유령 학생인 것으로 확인했습니다. 이러한 부정 학생 비율은 올여름 약 34만 건의 지원서를 처리한 캘리포니아 외 24개 대학에 적용됩니다.
오리건주 시골 지역의 레인 커뮤니티 칼리지(Lane Community College)는 2025년 가을 유령 학생의 공격에 대비하고 있다고 입학 관리 부학장인 돈 화이팅(Dawn Whiting)이 포춘(Fortune)에 전했습니다. 이 대학은 학생 등록 절차를 간소화하기 위해 새롭게 간소화된 지원 절차를 도입한 직후인 2022년 가을에 처음 공격을 받았습니다. 그 주말에 레인 대학은 약 1,000건의 지원서가 시스템에 접수되는 것을 보았습니다. 학생 수가 약 5,000명인 대학으로서는 매우 이례적인 일이었습니다.
휘팅과 그녀의 팀은 수백 건의 지원서에서 지역 번호, 이메일 주소, 전화번호가 유사한 등 일반적인 사기 징후를 발견했습니다. 휘팅은 약 1,000명의 학생 이메일 주소를 모두 비활성화하고 추가적인 신원 확인 절차를 요구했습니다. 그러나 사기꾼들은 방향을 바꿨습니다. 2023년 여름, 유령들은 시스템에 침투하는 새로운 수법을 사용하여 선수 과목이 없는 과목의 자리를 채웠습니다. 대학은 장벽 없는 지역 사회 자원이라는 기관의 신념에 반하는 조치임에도 불구하고 25달러의 지원서 보증금을 도입했습니다.
하지만 사기꾼들은 다시 지그재그로 움직였습니다. 휘팅에 따르면 2024년 여름에는 약 300건의 지원서가 동시에 접수되었고, 학교는 모든 지원서를 수업에서 제외했습니다. 현재 레인은 보안 강화를 위해 외부 AI 기업을 영입할지 여부를 검토하고 있습니다. 휘팅은 학교 직원들이 사기 수사를 위해 노력하고 있지만, 사이버 보안 전문가로 구성되어 있지는 않다고 지적했습니다. 입학 사정과 교수진은 주로 학생들을 교육하고 그들의 진로에 맞는 수업을 듣도록 하는 데 중점을 두고 있습니다.
"저희는 개방형 접근 방식을 채택하고 있습니다."라고 Lane의 학생 서비스 담당 부사장인 Colman Joyce는 말했습니다. "학생들이 등록하기 위해 더 많은 절차를 거쳐야 하므로 장벽이 더 커지고, 저희는 커뮤니티 칼리지이기 때문입니다. 저희 학교에 오는 학생들 중 상당수는 기술에 익숙하지 않습니다."
캘리포니아의 커뮤니티 칼리지는 자격을 갖춘 모든 학생을 받아들여야 하며, 지원 시 지원 수수료가 없습니다. Kodithala는 다른 주의 대학들도 캘리포니아와 같은 공격이 급증할 것인지에 대한 논쟁이 있다고 말했습니다. 특히 지원, 등록, 수업 등록에 지원금 예치금이나 수수료와 같은 추가적인 장애물이 있는 경우 더욱 그렇습니다. 그는 지금까지 수수료 유무와 관계없이 이러한 공격이 광범위하게 발생하고 있다고 말했습니다. 코디탈라는 캘리포니아 외 지역의 학교에서는 약 8~15%의 지원 부정행위가 발생한다고 말했습니다.
미네소타 주립대학교의 26개 커뮤니티 및 기술 전문대학과 7개 종합대학을 총괄하는 최고정보보안책임자(CISO) 크레이그 먼슨은 주 정부가 AI를 활용하고 있으며, 다른 학교 및 보안 컨소시엄과 협력하여 유령 학생들이 학교 시스템에 침투하기 위해 사용하는 새로운 전략을 파악하고 있다고 밝혔습니다.
먼슨은 "우리가 AI를 활용하여 스스로를 보호하는 것처럼, 공격자들 역시 새롭고 흥미로운 방식으로 AI를 활용하고 있습니다."라고 말했습니다. "이는 일종의 군비 경쟁과 같습니다. 공격자들은 6개월마다 한 가지 방법을 중단하고 다른 전략으로 전환하는 경향이 있습니다."
먼슨과 유사한 직책을 맡은 다른 사람들은 올가을에 목격한 구체적인 사기 행각에 대해서는 언급을 거부했지만, 몇 년 전 가짜 학생들의 수법은 더 이상 효과가 없습니다. 가짜 이름, 비슷하게 생긴 무작위 이메일 주소, 그리고 지원서에 반복적으로 연결된 동일한 주소와 전화번호를 사용하는 것이었습니다. 그 이후로 공격자들은 전략을 바꿨습니다.
학교의 경우, 이 문제는 매우 복잡합니다. 커뮤니티 칼리지는 준학사 학위 취득, 진로 전환, 또는 열정을 추구하려는 사람들에게 저렴한 비용으로 개방형 교육 기관이 되도록 설계되었습니다. 캘리포니아가 유령 학생 떼로 어려움을 겪는 가운데, 관계자들은 지원 시스템에 마찰을 더하기 위해 소액의 수수료를 부과하는 방안을 논의해 왔습니다.
미네소타의 시스템에는 최소 지원 수수료를 부과하는 대학 3곳, 수수료를 부과하지 않는 대학 4곳, 수수료를 부과하는 대학 7곳, 무료인 대학 19곳이 있습니다. 그러나 코디탈라는 지원 수수료를 추가하면 신용카드 및 상품권 사기가 발생할 수 있다고 지적했습니다. 먼슨은 미네소타에서도 같은 문제를 목격했다고 말했습니다. 코디탈라는 또한 사기꾼이 수천 달러의 기회를 얻기 위해 15달러나 25달러를 지불하지 않을 것이라고 학교가 생각할 경우, 잘못된 안전감을 제공한다고 말했습니다.
코디탈라는 "사기꾼들은 돈을 지불하기만 하면 된다는 것을 알기 때문에 사기를 치기 쉽습니다."라고 말했습니다.
미시간주 베이 드 녹 커뮤니티 칼리지의 학생 지원 및 등록 담당 부사장인 트래비스 블룸은 미시간주의 다른 학교들처럼 유령 학생이 대거 몰리는 현상은 아직 발생하지 않았지만, 만약의 사태에 대비하고 있다고 말했습니다. 또한 두 곳에 약 2,000명의 학생만 재학 중이기 때문에 교직원들은 수작업으로 진행되는 지원서 검토 절차를 시행하고 있다고 덧붙였습니다. 의심스러운 지원서는 재검토를 거치고, 지원자는 공증인이나 직접 방문을 통해 신원을 확인받게 됩니다.
커뮤니티 교육 기관의 리더인 블룸은 최대한 접근성을 높여야 하는 시스템에 더 많은 마찰을 야기하는 동일한 문제로 어려움을 겪고 있습니다. 그는 "커뮤니티 칼리지의 목적은 사람들을 입학시키고 교육하는 것입니다."라고 말했습니다.
AI 기반 사기 수법에 대한 커뮤니티 교육 기관의 취약성에도 불구하고, 전문가들은 학생들에게 제공되는 재정 지원을 보호하기 위해 노력하고 있습니다.
미네소타주의 먼슨은 "고등 교육 분야의 사기는 매우 심각하게 검토되어야 하며, 전반적인 위험 계산의 일부가 되어야 합니다."라고 말했습니다. "적절한 위협 정보를 확보하고 대응에 있어 유연하게 대처할 수 있도록 지역 및 연방 법 집행 기관, 그리고 정보 공유 단체와 긴밀한 관계를 유지하는 것이 중요합니다. 공격자가 변화함에 따라 우리도 그에 맞춰 변화해야 합니다."
댓글 없음:
댓글 쓰기