생성형 AI가 바꾼 피싱의 속도와 정교함

 생성형 AI가 바꾼 피싱의 속도와 정교함

 

요즘 피싱, 왜 이렇게 진짜 같을까요.

 

예전 피싱 메일은 띄어쓰기나 맞춤법만 봐도 티가 났습니다. 그런데 요즘은 다릅니다. 문장도 매끈하고 우리 회사 용어까지 정확히 씁니다. 심지어 팀장님 말투를 그대로 따라 하기도 합니다. 이유는 간단합니다. 공격자도 생성형 AI를 쓰기 때문입니다. 인터넷에 공개된 정보를 긁어 모으고, AI로 ‘나' 다운 말투를 찍어냅니다. 메일, 문자, 메신저, 심지어 전화까지 동원해 ‘지금 바로’ 행동하게 만듭니다. 자연스럽고, 빠르고, 끈질깁니다.

생성형 AI가 바꾼 피싱의 속도와 정교함

 

어떻게 속이는지, 장면으로 보겠습니다.

• 월말 재무 마감날, ‘해외 법인 세금계산서 수정본’이라는 메일이 도착합니다. 파일명은 실제 거래처와 비슷하고, 서명도 그럴듯합니다. 첨부를 열면 로그인을 요구하거나, 매크로를 켜라고 안내합니다.
• 화상회의 초대장이 도착하고, 회의에 들어가 보니 임원 얼굴이 화면에 나타납니다. “긴급 승인 건입니다. 결재선 생략하고 먼저 처리합시다.”라고 말합니다. 실제처럼 보이는 이유는 보이스 클로닝과 합성 영상 때문입니다.
• 개발자는 저장소 접근 권한 만료 알림을 받습니다. SSO 화면도 평소와 흡사합니다. 단지 주소가 아주 조금 다릅니다. 바쁜 순간 그 ‘조금’이 보이지 않습니다.

공격이 잘 먹히는 이유

1. 맞춤형 메시지입니다. 공격자는 우리가 공개한 조직도, SNS 글, 보도자료, 컨퍼런스 발표 자료를 바탕으로 ‘우리 회사만 아는 말’을 씁니다.
2. 시간 압박입니다. ‘오늘 17시 마감’ ‘배포 취소 위험’ 같은 표현으로 생각할 시간을 빼앗습니다.
3. 다채널 협공입니다. 메일로 시작해 메신저로 재촉하고, 전화로 마무리합니다. 채널이 바뀔수록 진짜처럼 느껴집니다.
4. 반응형 대화입니다. 질문을 던지면 AI가 바로 ‘그럴듯한’ 답을 생성합니다. 의심이 풀리기 쉬운 이유입니다.

 

 

티가 나는 순간을 잡아내는 법

 

완벽하게 속이지 못하는 지점이 있습니다.

1. 절차 우회입니다. 평소라면 절대 생략하지 않는 결재선과 양식이 갑자기 사라집니다.
2. 외부 채널 유도입니다. 시스템 공지를 받았는데 왜 개인 메신저로 답을 요구할까요.
3. 링크 주소의 미세한 차이입니다. 하이픈 하나, 알파벳 하나가 다릅니다. 주소창에 직접 입력해 확인하는 습관이 안전합니다.
4. 첨부파일의 과한 권한 요청입니다. 단순 조회인데 매크로나 실행 권한을 켜달라고 합니다.
5. 목소리와 영상의 ‘숨결’입니다. 호흡 템포가 일정하거나 감정 변화가 어색하면 합성일 수 있습니다. 짧게 끊어 질문하고, 콜백으로 다시 걸어 확인하면 의외로 쉽게 무너집니다.

개인 사용자를 위한 실전 수칙

• 급한 건일수록 멈추고 확인입니다.
• 링크는 클릭보다 주소창 직접 입력입니다.
• 파일은 클라우드 미리보기 후 다운로드입니다.
• 비밀번호 대신 패스키를 사용합니다.
• 서비스 알림은 앱 설정에서 재확인합니다.
• 결제·송금은 콜백으로 되묻습니다.
• 스마트폰의 앱 권한을 주기적으로 정리합니다.
• OS와 브라우저 업데이트를 미루지 않습니다.
• 의심되면 신고가 먼저입니다. 망설임보다 신고가 싸게 먹힙니다.

회사에서 해야 할 일

• 정책입니다. 결재, 송금, 권한 요청은 지정된 포털과 양식만 인정합니다. 임원 지시라도 예외 없습니다.
• 교육입니다. 분기마다 실제 우리 회사 문서 톤을 반영한 모의훈련을 합니다. 클릭률만 보지 말고 신고율과 응답 시간까지 봅니다.
• 기술입니다. 이메일 인증(SPF, DKIM, DMARC)을 강제하고, DMARC 정책은 p=reject까지 끌어올립니다. 링크 리라이트와 실시간 평판 검사, 첨부 샌드박스, 브라우저 격리, 엔드포인트 행위 탐지, DLP, CASB를 연결해 앞단과 뒷단을 함께 지킵니다. 고위험 도메인 등록과 타이포스쿼팅 모니터링도 꾸준히 돌립니다.

모의훈련은 현실적으로 설계해야

 

‘우리 회사라면 진짜 있을 법한’ 장면이 중요합니다. 예를 들어, 성수기 고객 캠페인 직전에 마감 압박이 큰 부서를 대상으로, 고객 데이터 정합성 검증을 명목으로 CSV 업로드를 유도합니다. 개발팀에는 패키지 백도어 이슈와 보안 패치 안내를 섞어 토큰 입력을 유도합니다. 훈련 결과는 개인 문책이 아니라 프로세스 개선으로 연결합니다. 보고서에는 실패 사례와 함께 절차·도구 상의 개선안을 제시합니다. 현장에서 자주 느끼는 부분이지만, 모두가 ‘안전한 실수’를 해봐야 진짜 사고를 줄일 수 있습니다.

 

데이터는 덜 보일수록 안전

 

공개 문서와 SNS에 이메일, 내선, 조직도, 프로젝트 코드, 벤더 계약 정보를 과도하게 올리지 않습니다. 채용 공고에 내부 시스템 명칭을 그대로 적지 않습니다. 사진 속 화이트보드, 배경 모니터 화면도 주의합니다. 공격자의 학습 데이터는 우리가 흘리는 단서에서 시작됩니다.

 

오늘의 결론

 

공격자는 더 짧은 샘플로 더 정교한 모사를 하게 될 것입니다. 회의 중 실시간 질문에도 자연스럽게 응답하는 합성 음성과 영상이 보편화될 것입니다. 방어의 핵심은 피싱 저항 MFA, 예외 없는 검증 절차, 현실적인 교육, 데이터 최소화입니다.

결국 우리는 ‘빨리 처리’보다 ‘정확히 확인’을 선택해야 합니다. 한 번의 멈춤이 조직을 지키는 가장 확실한 습관입니다.

 

2025.09.23 - [AI] - 프롬프트 피로와 생산성 저하

2025.09.22 - [AI] - 인공지능 시대, 바보가 아닌 지혜로운 사람이 되는 법

2025.09.19 - [AI] - AI '딥시크-R1'은 어떻게 스스로 생각하며 배울까요?

2025.09.17 - [AI] - 요즘 챗GPT, 일상에서 더 쓴다

2025.09.15 - [AI] - 알바니아의 AI 장관 실험, 부패척결 맡겼다