[사이언스칼럼] AI 피싱 공격이 온다
과거 피싱은 어색한 문장과 출처가 불분명한 이메일을 무작위로 보내는 방식이었지만, 오늘날의 공격은 AI가 학습한 SNS 정보, 이메일 언어 습관, 심지어 실시간 합성 영상까지 동원해 정교하게 맞춤형으로 진화하고 있다. 사이버 보안 교육기업 Hoxhunt가 2025년에 발표한 보고서에 따르면, 2023년에는 AI가 만든 피싱 메시지의 성공률이 사람보다 31% 낮았지만, 2년 만에 오히려 24% 더 높은 성공률을 기록했다. 이는 AI가 단순한 도구를 넘어, 인간보다 더 설득력 있게 사람을 속일 수 있는 사회공학 수단으로 진화하고 있음을 보여주는 사례다.
이러한 변화는 '출처 확인'이나 'URL 점검'과 같은 기존의 피싱 예방 수칙만으로는 더 이상 충분하지 않다는 점을 보여준다. 이제는 딥페이크 기술이 회의나 전화 통화에도 활용되면서, 낯익은 얼굴과 목소리조차 무조건 믿을 수 없는 상황이 된 것이다. 따라서 실질적이고 일상적인 보안 실천이 필수적이다. 첫째, 영상과 음성의 자연스러움만으로 신원을 판단하지 말고, 대면 확인이나 내부 시스템을 통한 교차 검증을 거칠 것. 둘째, 모든 중요 계정에 다중 인증(MFA)을 적용해 계정 보안을 강화할 것. 셋째, SNS에 가족, 직장, 일정 등 민감한 정보를 올리는 것을 자제하고, 보안 설정도 주기적으로 점검할 것. 넷째, 송금이나 권한 변경 같은 민감한 요청은 영상 회의나 이메일만으로 판단하지 말고, 반드시 다른 채널을 통해 재확인할 것. 다섯째, 최신 공격 기법에 대한 경각심을 유지하고, 보안 교육을 정기적으로 실시할 것 등이다.
AI는 방어와 공격 모두에 활용될 수 있는 양날의 검이다. 사이버 보안의 전장은 이제 '인간 대 인간'이 아닌 'AI 대 AI'로 확장되고 있으며, 디지털 신뢰는 더 이상 당연한 것이 아니라 적극적으로 점검하고 지켜야 할 가치다. 이제는 단순히 '수상한 링크를 클릭하지 말라'는 조언을 넘어, 중요 디지털 상호작용에서 '3초 멈추고 다시 보기'와 같은 일상적인 보안 습관이 필요하다. 익숙한 사람의 메시지일수록 자동 반응하기보다 다른 채널을 통해 교차 확인하고, 송금이나 비밀번호 변경 요청에는 이중 확인을 거치는 것이 중요하다.
기술적 대응도 병행돼야 한다. 예컨대 화상 회의 내 실시간 딥페이크 감지 기능, AI 기반 이상 행위 탐지 시스템 등은 AI 위협을 완화할 수 있는 수단이다. 그러나 이들 기술은 여전히 발전 중이며, 실제 업무 환경에 적용되기까지 정확도, 처리 속도 등 다양한 측면에서 아직 도전 과제가 많다. 더욱이 공격자 역시 AI를 활용해 방어 시스템을 회피하는 기술을 발전시키고 있어, 대응 기술 또한 끊임없이 진화해야 한다.
디지털 신뢰는 기술만으로 지켜지는 것이 아니다. 평소의 작은 보안 습관, 반복적인 점검, 교차 확인, 그리고 신기술에 대한 이해와 훈련이 모두 병행될 때 비로소 사이버 위협으로부터 개인과 조직을 보호할 수 있다. 이 시대의 보안은 선택이 아니라 생존의 필수 조건이며, 신뢰는 이제 스스로 만들어가야 하는 책임이다. 진승헌 ETRI 인공지능데이터보안연구실 책임연구원
Copyright © 중도일보. 무단전재 및 재배포 금지.