IT 보안 트렌드에 관심 있는 분들이라면 요즘 자주 듣는 단어 하나, 바로 ‘생성형 AI’ 아닐까 싶어요.

ChatGPT 같은 기술이 발전하면서, 보안 영역에서도 긍정적인 변화를 기대하는 반면…

이 기술을 악용한 사이버 공격도 빠르게 진화하고 있다는 점은 꼭 짚고 넘어가야 할 부분입니다.

특히 요즘 화두가 되고 있는 건, AI 기반 피싱 공격이에요.

단순히 어설픈 문장으로 유도하는 수준을 넘어, 사람처럼 자연스럽고 논리적인 피싱 메일을 만들어 기업 보안망을 뚫고 있습니다.

AI 피싱 공격, 어떤 방식으로 진화했을까?

기존에는 오타 많고 어색한 문장, 이상한 발신자 주소 때문에 피싱 이메일을 쉽게 구별할 수 있었죠.

하지만 이제는 생성형 AI가 등장하면서 완전히 달라졌습니다.

대표적인 예로,

- WormGPT, GhostGPT 같은 도구는 고급스러운 문장과 실제 브랜드 스타일의 이메일을 자동 생성합니다.

- 기존 이메일 대화를 복제하거나 도용해 만든 좀비 이메일은 진짜 업무 대화처럼 보여 클릭을 유도하죠.

- 심지어 딥페이크 영상·음성 기술로 상사나 동료인 척 속이며, 송금 요청을 하거나 로그인 정보를 요구하는 사례도 등장했어요.

홍콩에 있는 한 글로벌 엔지니어링 기업은, 이런 AI 기반 화상회의 피싱에 속아 무려 2,560만 달러(약 345억 원)를 송금했을 정도입니다.

요즘 유행하는 피싱 수법, 이것만은 꼭 알아두세요

피싱 공격 방식도 다양하게 진화하고 있습니다. 다음은 최근 급증한 유형이에요.

✅ 클릭픽스 공격

사용자에게 문제 해결용 코드처럼 보이는 명령어를 실행하게 유도해, 실제로는 악성 코드가 실행되도록 하는 수법입니다.

✅ QR 피싱 (퀴싱)

이메일에 QR 코드를 넣어 클릭을 유도하고, 로그인 페이지처럼 꾸민 사이트로 연결하는 방식이에요. 특히 모바일 사용자를 노린 공격이 많아지고 있어요.

✅ 이미지 기반 피싱

일반 텍스트처럼 보이지만, 실제로는 이미지로 구성된 이메일. 필터를 우회할 수 있어 탐지하기 어렵습니다.

✅ 브랜드 사칭

Microsoft, DocuSign, OneDrive 등 잘 알려진 브랜드의 디자인과 로고를 완벽하게 복제해 사용자의 자격 증명을 가로챕니다.

✅ PhaaS(Phishing as a Service)

피싱도 이젠 '서비스' 형태로 제공됩니다. 텔레그램이나 다크웹에서 월 구독형 피싱 툴킷을 구매해 누구나 공격을 시도할 수 있게 되었죠.

​

기업 보안팀은 어떻게 대응해야 할까?

피싱 공격의 진화 속도는 예측을 넘어서고 있습니다. 

따라서 기업은 기술적인 방어 뿐만 아니라, 보안 인식 교육과 시나리오 기반 실습을 병행해야 해요.

다음은 기업 보안팀이 반드시 고려해야 할 대응 전략입니다

1. AI 기반 피싱 시나리오로 직원 교육 강화

생성형 AI가 만들어낸 이메일을 기반으로 한 내부 테스트 진행이 효과적입니다.

​2. MFA(다단계 인증) 강화 및 ADFS 환경 보안 점검

공격자는 점점 더 정교하게 MFA 우회를 시도하고 있어요.

3. QR 코드 기반 공격에 대한 경각심 고취

특히 모바일에서 발생하는 클릭 유도 공격에 대해 집중적인 안내가 필요합니다.

4. Zero Trust 모델 도입 검토

내부 직원의 접근도 매번 검증하는 보안 체계를 통해 침투를 차단합니다.

​

생성형 AI 기술은 분명 혁신적인 도구입니다.

하지만 그만큼 사이버 공격에 활용되는 방식도 빠르게 진화하고 있다는 점은 간과해서는 안 됩니다.

특히 기업 보안 담당자라면, 기술적 방어뿐 아니라 사람 중심의 보안 전략도 함께 갖춰야 합니다.