인공지능(AI) 시대, 진화하는 피싱 공격: 완벽한 문장과 포맷으로 무장한 AI 피싱 주의보

최근 인공지능(AI) 기술의 발전은 사이버 범죄, 특히 피싱 공격의 양상을 완전히 바꾸어 놓고 있습니다. 보안 업체 Cofense의 새로운 보고서에 따르면, AI 기반 피싱 캠페인은 과거보다 훨씬 더 빈번하게 발생할 뿐만 아니라, 그럴듯함 또한 놀라울 정도로 높아졌습니다. 이제 AI는 피싱 공격의 새로운 무기가 되었습니다.

AI 피싱 공격의 특징

AI 기반 피싱 이메일은 이전과 달리 문법 오류나 어색한 표현 없이 완벽하게 작성됩니다. 또한, 발신자 주소를 정교하게 위조하여 마치 회사 내부 직원이 보낸 것처럼 보이게 합니다. 특히, 고위 임원을 사칭하여 긴급한 요청을 하거나, 기존 이메일 스레드에 자연스럽게 끼어드는 방식으로 사용자를 속입니다. 이는 비즈니스 이메일 침해(BEC) 공격의 성공률을 높이는 주요 요인으로 작용합니다.

더욱 교묘해지는 공격 방식

Cofense 보고서에 따르면, 2024년에는 42초마다 하나의 악성 이메일이 탐지되었으며, 이는 기존 보안 시스템을 우회하는 경우가 많았습니다. AI는 이메일의 톤을 모방하고, 내부 이메일을 사칭하며, 개인화된 메시지를 생성하는 데 탁월한 능력을 보여줍니다. 더욱 심각한 것은, 다형성 피싱 공격입니다. 이러한 공격은 실시간으로 콘텐츠를 변경하여 기존 보안 도구의 탐지를 회피합니다. 제목, 발신자 정보, 텍스트 등이 계속해서 바뀌기 때문에 전통적인 필터로는 탐지가 거의 불가능합니다.

70% 급증한 이메일 기반 사기

AI의 발전은 이메일 기반 사기 범죄를 70%나 급증시켰습니다. 이는 AI가 문장 생성 능력뿐만 아니라, 심리적인 요소까지 파악하여 더욱 정교한 사기를 가능하게 하기 때문입니다. 예를 들어, 긴급한 상황을 연출하여 사용자의 판단력을 흐리게 하거나, 특정 인물의 말투를 모방하여 신뢰를 얻는 방식 등이 사용됩니다.

진화하는 악성코드

피싱 이메일에 포함된 악성코드 또한 진화하고 있습니다. Cofense 보고서에 따르면, 2024년에 발견된 악성코드 샘플의 40% 이상이 이전에 관찰되지 않았던 새로운 위협이었으며, 그중 상당수가 원격 접속 트로이 목마(RATs)였습니다. RATs는 공격자가 피해자의 시스템에 원격으로 접속하여 정보를 빼내거나 시스템을 제어할 수 있게 합니다.

AI 피싱 공격으로부터 안전하게 보호하는 방법

AI 피싱 공격은 겉으로 보기에는 완벽해 보이기 때문에 더욱 주의해야 합니다. 다음은 AI 피싱 공격으로부터 자신을 보호하기 위한 몇 가지 실질적인 방법입니다.

• 이메일 내용 주의 깊게 검토: 완벽한 형식을 갖춘 이메일이라도 재정적 행동, 긴급 요청, 부적절한 언어 사용이 포함된 경우 의심하십시오.
• 내부 요청 확인: 동료나 임원이 보낸 것으로 주장하는 이메일의 경우, 조치를 취하기 전에 알려진 연락 방법을 사용하여 다시 확인하십시오.
• 겉모습에 의존하지 마십시오: AI 생성 이메일은 종종 완벽하게 보입니다. 따라서 "전문적인"모습보다는 컨텍스트, 타이밍 및 내용에 집중하십시오.
• 확인 없이 링크 클릭 금지: 링크 위에 마우스를 올려 목적지를 확인하고 익숙하지 않거나 예상치 못한 메시지에서 파일을 다운로드하지 마십시오.
• 경계 너머로 확장되는 보안 도구 활용: 서명뿐만 아니라 행동을 기반으로 사후 분석 및 위협 대응을 제공하는 솔루션을 찾으십시오.

맺음말

AI 기술은 사이버 범죄의 새로운 가능성을 열어주었으며, 피싱 공격은 그 대표적인 예입니다. AI 피싱 공격은 그 어느 때보다 정교하고 지능적이며, 우리의 경계를 시험하고 있습니다. 하지만, 경각심을 가지고 위에 제시된 예방 조치를 따른다면, AI 피싱 공격으로부터 자신과 조직을 안전하게 지킬 수 있습니다. 꾸준한 보안 교육과 최신 보안 솔루션 도입은 필수입니다.