AI 악용 사이버 공격 심각 90%가 이메일 피싱서 뚫려

SK쉴더스 '이큐스트' 분석

디지털 전환이 가속화하면서 사이버 위협이 일상 속으로 깊이 침투하고 있다. 특히 생성형 인공지능(AI)이 일상생활 전반에 적용되며 사이버 공격도 AI를 활용해 개인을 타깃으로 하는 추세다.

11일 보안 기업 SK쉴더스의 화이트 해커 그룹 이큐스트(EQST)에 따르면 지난해 업종별 침해 사고 발생 통계에서 '개인'이 차지하는 비중이 17%로 제조업(20%)에 이어 두 번째를 기록했다.

AI를 악용한 사이버 공격의 대표 사례로는 '피싱(Phishing)'이 꼽힌다. 피싱은 전통적인 사이버 공격 유형 중 하나로 이메일, 문자메시지, 사회관계망서비스(SNS) 등을 이용해 믿을 만한 사람이나 기업이 보낸 메시지처럼 가장한 뒤 악성 URL이나 피싱 사이트로 유도하는 수법이다. SK쉴더스 관계자는 "피싱 공격은 손쉽게 개인정보와 민감정보를 탈취할 수 있어 해커가 주로 사용하는 방식 중 하나"라며 "미국 사이버보안국(CISA)에서는 성공적인 사이버 공격 중 90%가 이메일 피싱에서 시작된 것으로 추정된다고 밝힌 바 있다"고 설명했다.

이러한 피싱 공격은 AI를 만나 더욱더 활개를 치고 있다. 최근 웜GPT(Worm GPT), 프러드GPT(Fraud GPT) 등 악성 피싱 메일을 작성해주는 범죄 맞춤형 생성형 AI가 등장했기 때문이다.

AI를 악용한 사이버 공격에 대비하기 위해 이큐스트는 사용자와 기업 측면에서 안전한 AI 활용 방안과 대응 전략을 공유했다. 이큐스트 관계자는 "사용자는 AI 서비스 목적을 인지하고 악의적인 목적으로 사용하지 않도록 유의해야 한다"며 "AI 서비스가 생성한 결과물에 대해서는 복수의 출처에서 사실을 확인하고 활용해야 한다"고 조언했다. 편향된 정보를 내재할 수 있다는 점에 주의해야 하며, AI 서비스가 갖고 있는 한계에 대한 인식이 필요하다는 설명이다. 김병무 SK쉴더스 정보보안사업부장은 "AI를 악용한 공격이 급증함에 따라 보안의식을 제고해야 하며, 디지털 정보를 이해·활용할 수 있는 능력인 디지털 리터러시 교육이 필요하다"고 강조했다. 이어 "피싱과 딥페이크 공격은 개인 상황과 심리를 이용한 범죄 수법을 사용하고 있으므로 보안수칙을 준수하고 전문적인 대응 전략을 수립해야 한다"고 덧붙였다.

[양연호 기자]