상세 컨텐츠

본문 제목

피싱 공격의 진화, 다음 타깃은 우리 가족일 수 있습니다

카테고리 없음

by 알약5 2025. 12. 31. 09:30

본문

 

by 이스트시큐리티 마케팅팀

 

안녕하세요, 이스트시큐리티입니다.

 

2025년 들어 AI 기술이 빠르게 확산되면서 피싱 공격 역시 과거와는 전혀 다른 양상으로 진화하고 있습니다. 이메일을 넘어 문자(SMS), 메신저, SNS, 가짜 앱 등 다양한 채널을 통해 정교한 사회공학 기법이 동원되고 있으며, 공격의 속도와 정밀도 또한 눈에 띄게 향상되고 있습니다. 실제로 DeepStrike가 발표한 2025년 보고서에 따르면 AI 기반 피싱·사칭형 공격은 전년 대비 1,265% 증가했으며, 이에 따른 사용자 피해 규모 역시 지속적으로 확대되고 있는 것으로 나타났습니다.

 

이번 콘텐츠에서는 AI 시대에 특히 주목해야 할 주요 피싱 위협이 어떻게 변화하고 있는지, 그리고 개인과 가족이 실생활에서 적용할 수 있는 대응 전략은 무엇인지 차근차근 살펴보고자 합니다. 빠르게 고도화되는 보안 환경 속에서 위협의 흐름을 이해하고 선제적으로 대비하는 것이 무엇보다 중요해지고 있습니다.

 

 

 

 

 

AI가 만든 새로운 피싱 공격 트렌드

 

현재 고도화되고 있는 피싱 공격 방식은 크게 세 가지 흐름으로 정리할 수 있습니다.

 

🔎 프롬프트 인젝션과 NHI 탈취 - MFA까지 우회하는 신종 피싱 공격 방식

 

AI 에이전트가 기업과 개인의 업무 자동화를 지원하는 동시에, 공격자들은 이제 사람의 계정보다 AI가 가진 디지털 신원, 즉 NHI(Non-Human Identity)를 주요 공격 대상으로 삼고 있습니다. 프롬프트 인젝션 공격은 단순히 AI 모델을 오작동시키는 수준을 넘어, LLM이 접근 가능한 API 키나 서비스 계정, 정적 토큰을 탈취해 내부 시스템으로 직접 침투하는 방식으로 진화하고 있습니다.

 

 

[표] NHI 탈취형 공격과 기존 공격의 차이



 

AT&T를 포함한 글로벌 기업들의 AI 보안 사례에서도 이러한 AI 에이전트 및 자동화 계정에 과도한 권한이 부여된 구조가 핵심 위험 요인으로 반복해서 지적되고 있습니다. 특히 NHI는 비밀번호나 MFA 인증 없이 API 키나 토큰만으로 접근하는 경우가 많아, 한 번 탈취될 경우 기존 사용자 계정보다 더 빠르고 광범위하게 권한이 악용될 수 있습니다.

 

이처럼 NHI를 노린 공격은 앞으로 모든 보안 체계에서 반드시 고려해야 할 핵심 위협으로 평가되고 있습니다.

 

 

 

🔎 AI 기반 스피어피싱 자동화 - LLM이 만든 초정밀 피싱의 등장

 

생성형 AI는 스피어피싱 공격의 효율성과 성공률을 획기적으로 끌어올리고 있습니다. 과거에는 공격자가 직접 타깃을 조사하고 문구를 작성해야 했다면, 이제 LLM은 공개 프로필과 최근 활동, 직무 정보, 관심사 등을 분석해 피해자가 속기 쉬운 메시지를 자동으로 생성할 수 있습니다.

 

ZeroThreat를 비롯한 다수의 보안 업체 분석에 따르면, LLM이 생성한 피싱 메일은 기존 규칙·시그니처 기반 필터를 우회해 실제 받은편지함까지 도달하는 비율이 크게 증가한 것으로 나타났습니다. 문장의 자연스러움과 문맥 정확도가 높아지면서, 사용자 스스로 피싱 여부를 판단하기가 점점 더 어려워지고 있다는 점도 공통적으로 지적되고 있습니다.

 

 

 스피어피싱 자동화 흐름

 

  1. 공개 데이터 수집 (SNS, 블로그, 기업 홈페이지  오픈 소스 정보)
  2. LLM 문체·관심사·직무 정보를 분석해 타깃 프로파일링 수행
  3. 개인 맞춤형 피싱 메시지·첨부 파일·링크 자동 생성
  4. 자동 전송  반복 테스트를 통해 클릭률 극대화

 

특히 기업 사칭 이메일은 내부 문서 스타일과 서명, 직함, 커뮤니케이션 톤까지 모방해 더 큰 피해로 이어지는 사례가 늘고 있습니다.

 

 

 

🔎 딥페이크·음성 사기 급증 - Fake Voice가 계정 탈취에 사용되는 방식

 

딥페이크 음성·영상 기술의 발전은 피싱 공격을 단순한 링크 클릭 유도 수준을 넘어, 실시간 계정 탈취나 송금 사기로까지 확장시키고 있습니다. Pindrop의 2025 Voice Intelligence & Security Report에 따르면 딥페이크 및 synthetic voice 기반 사기는 일부 산업에서 수년 사이 1,300% 이상 증가한 것으로 나타났으며, 콜센터를 중심으로 AI 음성 사기가 빠르게 확산되고 있음을 보여줍니다.

 

또한 Signicat, Keepnet Labs 등의 조사에서는 딥페이크 기반 사기가 전체 사기 시도 중 약 6.5%를 차지할 만큼 비중이 확대된 것으로 분석됐으며, ZeroThreat 역시 이러한 흐름을 인용해 AI 사기 위협의 심각성을 강조하고 있습니다. 실제로 CEO의 음성을 합성해 긴급 송금을 요구하거나, 화상 회의나 인증 절차에서 딥페이크 영상을 활용해 신뢰를 속이는 사례도 국내외에서 잇따라 보고되고 있습니다.

 

 

[이미지] AI 활용 딥페이크 기술

 

 

 

 

✔ 딥페이크 의심 신호 체크리스트

 

  • 음성이 지나치게 깨끗하거나 감정 변화가 일정함
  • 영상 속 얼굴 움직임·입 모양이 미세하게 어긋나거나 부자연스러움
  • 급박한 결정을 요구하면서 추가적인 검증(콜백, 메일 재확인 등)을 회피함

 

 

AI 딥페이크 기반 공격은 이제 단순한 피싱을 넘어 조직과 개인 간 신뢰 체계 자체를 흔드는 위협으로 진화하고 있습니다.

 

 

 

🔵 AI 피싱 시대, 가족 단위 보안이 필요한 이유

 

AI 시대의 피싱은 더 이상 링크 클릭만을 노리는 공격이 아니라, 계정과 앱, 시스템 권한 자체를 직접 겨냥하는 형태로 빠르게 진화하고 있습니다. 공격 속도와 정교함이 높아지면서 사용자의 주의만으로 모든 위협을 막기에는 한계가 분명해졌고, 사람이 인지하기 전에 보안 시스템이 먼저 차단해주는 구조가 필수가 되고 있습니다.

 

특히 가족이 하나의 디지털 환경으로 연결된 상황에서는 한 명의 노출이 전체 피해로 확산되기 쉽습니다. 스미싱이나 가짜 앱에 상대적으로 취약한 부모님 세대까지 고려하면, 가족이 함께 관리하고 위험 알림을 공유할 수 있는 보안 방식의 중요성은 더욱 커지고 있습니다. 이러한 흐름 속에서 ‘가족 단위 보안’은 선택이 아닌, AI 시대에 필요한 현실적인 대응 방식으로 자리 잡고 있습니다.

 

 

 

알약 모바일 패밀리케어

 

 

알약 모바일 앱의 패밀리케어는 AI 기반 스미싱 분석과 가족 보호 기능을 강화한 모바일 보안 서비스로, 고도화되는 AI 피싱 환경에서 맞춤형 스미싱 패턴에 대응할 수 있도록 설계되었습니다.

 

스미싱 메시지를 높은 정확도로 탐지하며, 가족 최대 4대까지 통합 보안 관리가 가능합니다. 부모님의 휴대폰에서 위험 징후가 감지될 경우 자녀 단말로 실시간 알림을 제공해, 가족 전체의 대응 속도를 높입니다. 

 

 

 

 주요기능

    • Google Cloud 기반 Vertex AI 및 Gemini 모델을 활용한 문자 분석 엔진 적용
    • 스미싱 메시지를 높은 정확도로 탐지하는 AI 기반 필터링 기능 제공
    • 가족 4대까지 통합 보안 관리 지원
    • 부모님 휴대폰에서 위험 징후가 감지될 경우자녀 단말로 실시간 알림 제공

 

 

 

 

 

 

가족 모두가 꼭 기억해야 할 보안 수칙 7가지

 

자동으로 위협을 차단하는 보안 기능과 함께, 일상 속 기본 보안 습관을 병행하는 것도 중요합니다.

 

 

 

 

 

작은 보안 습관 하나가 큰 피해를 막을 수 있습니다. AI 기반 위협이 빠르게 확산되는 지금, 우리 가족의 스마트폰이 노출된다면 그 피해를 누구도 장담할 수 없습니다. 스미싱 문자 한 통, 가짜 앱 하나만으로도 사진과 메시지, 계정 정보까지 악용될 수 있는 시대입니다.

 

모바일 보안은 이제 선택이 아니라 필수입니다. 지금 바로 알약을 무료로 다운로드하고, 패밀리케어로 AI 기반 실시간 보호를 직접 경험해 보세요. 우리 가족의 스마트폰을 지키는 첫걸음은, 바로 이 버튼 클릭에서 시작됩니다.

 

 

 

 

 

 

 

[참고출처]

 

저작자표시 비영리 변경금지 (새창열림)

댓글 영역

티스토리툴바