새로운 영역에서 이루어지는 피싱 공격
멀티 채널 공격에는 새로운 사고방식과 신선한 전략이 필요합니다
CISO는 즉시 새로운 안내서가 필요합니다. CISO는 조직 내 디지털 보안의 등대 역할을 하며 새롭게 떠오르는 위협에 용감하고 훌륭하게 빛을 비춰왔지만, 클라우드 마이그레이션과 디지털 서비스로 특징지어지는 과거 시대에 자신이 선호하는 여러 전략들을 개발했습니다. 그러한 시대는 끝났습니다. 그 결과로, 많은 CISO의 도구 상자 속 도구들이 점점 무용지물이 되어가고 있습니다.
이 사실은 전 세계 기업에 연간 500억 달러 이상의 비용을 치르게 하는 피싱과의 전쟁에서 가장 분명하게 드러납니다.
최초의 현대적인 피싱 공격은 1990년대에 전화 접속 인터넷 사용자들이 이메일의 놀라움을 처음 접했을 때 발생했습니다. 수십 년이 지난 지금도 이메일은 사이버 범죄자들이 가장 선호하는 공격 수단입니다. 사이버 보안 및 인프라 보안국(CISA)에 따르면 실제로 성공적인 사이버 공격의 90% 이상이 피싱 이메일에서부터 시작됩니다.
하지만 오늘날의 피싱 이메일은 과거의 피싱 이메일과 같지 않습니다. 사이버 범죄자들이 매일 수십억 건의 피싱 이메일을 보내는 것으로 추정될 정도로 그 수가 많을 뿐만 아니라, 더 설득력을 갖추었습니다. 컬럼비아 대학교 연구진에 따르면 인공지능이 그 주된 이유라고 합니다. 2025년 7월, Cloudflare에서는 현재 스팸 이메일의 51% 이상이 AI를 사용하여 생성되었다는 획기적인 연구를 발표했습니다.
연구 책임자 Wei Hao는 보도자료를 통해 “연구 결과, 공격자들은 공격 전략을 바꾸기 보다는, 주로 AI를 활용하여 이메일 품질을 개선하고 오타 및 문법 오류를 줄이는 것으로 나타났습니다” 라고 밝혔습니다. "이에 따라 스팸이 더 감지하기 어려워지��고 수신자에게 더욱 설득력 있게 보일 수 있습니다."
반복되는 새로운 피싱에 대응하기 위해 기존의 전술을 사용하고 있는 CISO에게 있어 이는 최상위급 화재 경보가 울린 현장에 정원용 호스를 가지고 나타나는 것과 같습니다.
그리고 AI만이 문제가 아닙니다. 사이버 범죄자들은 공격 범위와 수익을 확대하기 위해 문자 메시지, 음성 통화, QR 코드, 소셜 미디어 등 새롭고 다양한 통신 채널을 통해 피싱 공격을 실행하는 추세입니다. 이러한 모든 측면에서 피싱을 막기 위해서는 CISO가 자동화, 실시간 위협 분석, 교육 등의 최신 보안 방식에 투자를 늘려야 합니다.
피싱 전술의 진화 양상
피싱 이메일을 잡는 데는 스팸 필터를 설정하는 것만으로는 충분하지 않습니다. 오늘날 공격자는 그 외에도 다양한 방법을 사용하여 사냥감을 공격하고 있습니다. 예를 들어, 공격 벡터로 스미싱, 비싱, 퀴싱, 엔터프라이즈 커뮤니케이션 플랫폼, 소셜 미디어 등이 증가하고 있으며, 이들은 모두 CISO가 이끄는 팀에서 전통적으로 피싱 공격을 막기 위해 사용해 온 일반적인 감��지 및 완화 방법을 우회합니다.
다중 채널 피싱 공격의 등장으로 사이버 범죄는 새로운 시대로 접어들었습니다. 사이버 범죄자가 새로운 시대에 어떻게 활동하는지 이해하는 것은 진화하는 위협에 발맞추려는 CISO에게 있어 아주 중요합니다. 특히 가장 효과적인 CISO가 인식하는 최신 피싱에는 AI, 소셜 엔지니어링, 정보 수집 등 세 가지 측면이 있습니다.
AI 피싱
컬럼비아 대학교의 연구원들이 지적했듯이 AI 덕분에 한 때 피싱의 명백한 징후였던 맞춤법 오류와 문법 오류가 수정되어 피싱 공격을 인지하기가 더 어려워졌습니다.
AI는 사기꾼들을 더 훌륭한 작성자로 만들어주기만 하는 것이 아닙니다. AI 덕분에 그들은 더 나은 영업 사원이 되고 있습니다. 공격자는 생성형 및 에이전틱 AI 도구를 사용하여 특정 그룹과 개인에게 맞춤화된 피싱 메시지를 작성할 수 있습니다. 예를 들어, AI 딥페이크와 음성 복제는 전문가도 진짜와 가짜를 구분하기 어려울 정도로 사실적인 이미지와 동영상을 만들 수 있는 최신 공격자의 무기입니다.
공격자가 회사 CEO의 스푸핑된 이메일 주소로 맬웨어 PDF 첨부 파일을 직원들에게 보내고 음성 복제 전화까지 건다면 회사에 어떤 피해를 줄 수 있을지 상상해 보십시오. 그러한 종류의 피싱 공격은 오늘날 이미 발생하고 있습니다.
AI가 점점 더 보편화됨에 따라, 이제 누구나 성공적인 피싱 캠페인을 쉽게 진행할 수 있습니다. 사이버 범죄자는 AI를 사용하여 다양한 방식으로 피싱 공격의 규모를 확대할 수 있습니다. 반면에, 기술 수준이 낮은 직원도 AI를 사용하여 스피어피싱 키트를 구축하여 조직 내 자산을 탈취하고 새로운 내부자 위험 영역을 만들 수 있습니다.
속도라는 요소도 간과할 수 없습니다. AI를 사용하는 사이버 범죄자는 이전보다 훨씬 빠르게 피싱 캠페인과 메시지를 생성할 수 있으며, 이러한 향상된 속도와 효율성을 활용하여 더 많은 장소에서 더 많은 대상을 상대로 더 많은 피싱 공격을 감행할 수 있습니다.소셜 엔지니어링
최신 피싱의 핵심 요소는 기술뿐만 아니라 소셜 엔지니어링이라고도 불리는 심리적 조작입니다. 공격자는 피해자가 원하는 행동(예: 송금, 개인정보 공유)을 하도록 하기 위해 두려움(예: 조치를 취하지 않으면 계정이 잠김), 죄책감(예: 알 수 없는 발신자로부터 온 친절한 메시지에 답해야 한다는 느낌), 설렘(예: LinkedIn에서 '완벽한' 구인 제안에 대한 직접 메시지) 등의 감정을 일상적으로 이용합니다.
공격자들은 잘 알려진 회사, 고위 경�영진, 심지어 평소에 아는 사람에 대한 개인의 신뢰까지 악용합니다. 더 감지하기 어려운 피싱 공격은 회사에서 가장 스트레스를 받는 기간, 예를 들어 휴가철, 세금 신고 기간, 회계연도 말에 자주 발생합니다. 공격자는 직원들이 바쁜 시간에는 실수를 할 가능성이 더 높다는 것을 알고 있기 때문입니다.정보 수집
전통적으로 대부분의 사이버 공격의 동기는 금전적인 것이었습니다. 그리고 그것은 여전히 많은 공격자들의 주요 목표입니다. 하지만 오늘날의 사이버 범죄자들은 돈만을 노리고 피싱을 시도하는 것은 아닙니다. 이들은 정보를 얻기 위해서도 피싱을 시도합니다. 실제로 IBM 기업가치연구소(IBV)에 따르면 개인정보, 비밀번호, 스크린샷, 개인 문서 등 중요한 정보를 은밀하게 훔치기 위해 설계된 맬웨어인 인포스틸러가 피싱 이메일을 통해 전달되며 2024년부터 2025년까지 84% 증가했습니다. 'IBM X-Force 2025 위협 인텔리전스 인덱스' 보고서에서 보고된 내용입니다.
IBM IBV에서는 "피싱은 유효한 계정을 손상시키는 섀도우 감염 벡터로 부상했습니다"라고 밝혔으며, 사이버 공격 3건 중 거의 1건이 유효한 계정을 사용하여 발생한다고 합니다. 인포스틸러 맬웨어 및 자격 증명 피싱을 배포하는 피싱 이메일의 급증에 따라 이러한 추세가 강��화되고 있으며, 이는 공격자들이 AI를 활용하여 공격 규모를 확장한 데 기인할 수 있습니다.
피싱을 사용하여 사용자 이름, 비밀번호 등의 로그인 자격 증명을 수집하는 공격자는 정보를 판매하여 금전적 이득을 취하거나 이를 이용하여 스파이 목적으로 네트워크에 침투하거나 더 크고 은밀한 공격을 시작할 수 있습니다.
어느 경우든, 궁극적인 목표는 중요한 지식 재산, 정부 기밀, 고위 공직자의 자격 증명 탈취입니다. 예를 들어, 국가 차원에서는 피싱을 출발점으로 삼아 정치인, 방위 산업 계약자, 언론의 전화와 네트워크에 침투할 수 있습니다. 이들과 기타 악의적인 행위자는 피싱을 사용하여 중요한 인프라나 영업 비밀에 액세스할 수 있습니다. 러시아의 지원을 받는 해킹 그룹의 2024년 사례를 생각해 보세요. 이 해킹 그룹은 중요한 미국 정부 정보를 얻기 위해 피싱 공격을 감행했습니다. 2025년 초, 중국의 한 스파이 조직이 정보 데이터 수집을 목적으로 대만의 제조, 공급망, 기술 기업을 대상으로 유사한 피싱 공격을 감행했습니다.
돈을 노리든 정보를 노리든, 다중 채널 피싱의 경우 공격자가 더 광범위하게 공격할 수 있습니다. 예를 들어 소셜 미디어 피싱은 단일 게시물로 광범위한 사용자에게 도달할 수 있지만, 스미싱 또는 큐싱 공격은 더 많은 사용자에게 도달하여 성공률이 높아질 수 있습니다.
CISO를 위한 피싱 방지 조치
분명히 사이버 범죄자들은 진화하고 있습니다. 보조를 맞추려면 CISO도 발전해야 합니다. 전통적으로 CISO의 역할을 규정했던 기술적 역량과 비즈니스 통찰력만으로는 이제 충분하지 않습니다. 멀티 채널 피싱 공격을 부추기는 AI, 소셜 엔지니어링, 정보 수집에 대응하여 CISO는 기존과는 다른 방식으로 사고하고 기술적 전문성을 보완할 소프트 스킬을 갖추어야 합니다.
예를 들어, CISO가 육성하고 개발해야 할 가장 중요한 소프트 스킬은 다음과 같습니다. 감성 지능 기술은 직원들이 피싱 미끼에 속는 이유를 파악하고 직원들이 피싱 시도를 신고하는 것을 안전하게 느낄 수 있는 비처벌적 환경을 조성하는 데 도움이 됩니다. 리더십 기술은 직원과 동료에게 영향을 미쳐 보안을 최우선으로 하는 문화를 조성하는 데 도움이 됩니다. 비판적 사고 기술은 공격이 가장 많이 발생할 가능성이 높은 위치와 공격자가 가장 많이 사용할 전술을 파악하는 데 도움이 됩니다. 의사 소통 및 협업 기술은 직원들에게 비전통적인 피싱 전술에 대해 교육하고 기업 전체의 피싱 방지 활동에 참여시키는 데 활용할 수 있습니다.
하지만 다르게 행동하지 않는다면, 다르게 생각하는 것만으로는 충분하지 않습니다. CISO는 잠재적인 위협을 식별하는 데 도움이 되는 새로운 기술과 관점을 개발하는 동시에, 채널이나 공격 방식과 관계없이 조직의 복원력을 강화하는 새로운 피싱 방지 전략을 도입해야 합니다.
자동화, 실시간 위협 분석, 교육은 멀티 채널 피싱에 가장 효과적으로 대응할 수 있는 세 가지 방법입니다.
1. 자동화: AI 기반 보안 도구 활용
사이버 범죄자만이 AI를 사용하여 규모와 정교함을 높일 수 있는 것은 아닙니다. 기업에서도 공격을 시작하는 대신 공격을 막기 위해 유사한 방식으로 이를 배포할 수 있습니다.
실제로, 구체적인 목적이 공격 완화인 AI 피싱 도구도 있습니다. 예를 들어 이메일, 문자 메시지, 소셜 미디어 게시물, 기타 포럼에서 피싱 징후를 탐지하는 명시적인 목적을 가진 대규모 언어 모델(LLM)이 있습니다. 이 모델은 자연어 처리 기술을 사용하여 서면 텍스트에서 의심스러운 언어 및 기타 위험 신호를 분석하고 잠재적인 위협을 자동으로 감지하여 사용자에게 경고할 수 있습니다. 예를 들어, 일반적인 로그인 시간 및 위치의 편차와 같은 이상 징후를 감지하도록 훈련된 LLM이 있으며, 컴퓨터 비전 기술을 활용하여 가짜 브랜드 로고나 악성 QR 코드와 같은 의심스러운 이미지를 식별하는 LLM도 있습니다.
AI 기반 보안 도구를 사용하는데 관심이 있는 CISO는 고려 중인 솔루션에서 몇 가지 주요 특징을 찾아봐야 합니다. 주요 피싱 방지 기능은 다음과 같습니다.
감정 및 대화 분석. 조직에서는 아를 통해 앞서 언급한 대로 텍스트에서 자동 위협 감지를 위해 자연어 처리를 활용할 수 있습니다.
적응형 인증. 이를 통해 위험도가 높은 사용자 행동에 대응하여 인증 요구 사항을 동적으로 조정할 수 있습니다.
자동화된 사고 대응. 이를 통해 조직에서는 네트워크에서 의심스러운 메시지나 장치를 감지하고 자동으로 격리하도록 지원할 수 있습니다.
위협 인텔리전스. 이를 통해 피싱 지표와 최신 위협 정보를 상호 참조하여 공격을 조기에 식별할 수 있습니다.
2. 실시간 위협 분석: 잠재적 위험 요소 격리
AI 기반 보안 도구에서 찾아야 할 가장 중요한 기능 중 하나는 실시간 위협 분석이며, 이는 조직에서 위협이 인간 대상에 도달하기 전에 신속하게 식별하고 억제하는 데 도움이 됩니다.
조직에서 실시간으로 모니터링할 수 있어야 하는 피싱 지표는 다음과 같습니다.
의심스러운 발신자 행동(예: 스푸핑된 도메인, 유사 이메일 주소, 갑자기 많은 직원에게 연락을 시도하는 새로운 발신자).
평판이 좋지 않거나 알 수 없는 링크, 리디렉션 체인, 자격 증명 수집 페이지 등 의심스러운 URL 및 도메인.
매크로, 실행 파일, 난독화된 스크립트가 포함된 악의적 첨부 파일.
알 수 없는 링크 클릭하기, 의심스러운 출처의 파일 다운로드하기, 비정상적인 위치 또는 시간에 로그인하기 등의 위험한 사용자 행동.
3. 교육: 보안 인식 강화
피싱 사기는 인간의 행동과 실수를 노리기 때문에, 직원들이 다양한 공격 벡터에서 피싱 징후를 식별하도록 돕는 교육은 아주 중요하고 효과적인 억제책입니다.
피싱 방지 교육 프로그램을 설계할 때는 다음과 같은 모범 사례를 염두에 두세요.
연례 규제 준수 교육만으로는 충분하지 않습니다. 피싱 위협은 역동적이고 끊임없이 변화하므로, 직원들이 최신의 정확한 정보를 얻을 수 있도록 교육은 빈번하고 지속해서 이루어져야 합니다.
직원들은 바쁘고, 피싱 공격은 점점 더 복잡해지고 있습니다. 집중 시간이 짧은 점을 고려하여, 길고 포괄적인 교육 과정 대신 간결하고 이해하기 쉬운 핵심 학습 모듈을 우선적으로 제공하십시오.
유지율을 높이려면 상황별 학습, 시나리오 기반 교육, 실제 피싱 전술을 모방하는 현실적인 시뮬레이션 등에 집중하여 최대한 관련성 있고 실용적인 교육을 제공해야 합니다. 직원이 시뮬레이션 공격에 속아 넘어갈 때 실시간 피드백을 제공하는 것도 도움이 됩니다.
교육은 가치가 높고 사이버 보안 조치에 대한 교육이 부족한 경우가 많은 고위 경영진을 포함한 모든 사람에 대한 교육을 의무화해야 합니다.
클릭률, 보고율, 응답 시간 등의 지표를 포함하여 시간 경과에 따른 진행 상황을 추적하는 것이 아주 중요합니다. 이를 통해 기업에서는 단점을 파악하고 개선하는 동시에 개선 사항에 대해 보상하고 장려할 수 있습니다.
피싱 공격이 성공하면 어떻게 되나요?
사이버 범죄자는 아주 지능적이고 끈질기기 때문에 완벽하게 안전한 방법은 없습니다. 따라서 �위협 대응은 위협 예방만큼 중요합니다.
공격자가 성공할 경우, CISO는 Zero Trust 및 최소 권한과 같은 기술을 활용하여 위험을 완화하고 손상을 방지할 수 있습니다. 이러한 솔루션은 네트워크 내에서 지속적인 검증을 요구하는 격리된 영역을 네트워크 내에 생성하여 결과적으로 공격자의 자유로운 이동 능력을 제한합니다.
복원력에는 경계심이 필요합니다
피싱은 오래된 사기 수법일 수 있지만, 여전히 효과적인 사기 수법입니다. 기술이 발전하는 시대에도 사이버 범죄자가 계속해서 피싱을 이용하는 이유가 바로 여기에 있습니다. 오늘날 공격자는 이메일 외에도 문자 메시지, 화상 회의 등의 새로운 경로를 이용하여 피싱 시도를 하고 있습니다.
Cloudflare Email Security는 기존의 피싱 전략에 대한 최전선 보호를 제공합니다. Cloudflare One은 Zero Trust를 이용하여 새로운 피싱 공격 벡터에 대한 보호를 확대합니다. CISO와 보안팀에서는 AI 피싱의 영향을 포함하여 플랫폼 및 애플리케이션 전반에서 피싱 공격의 형태를 파악함으로써, 취약점이 책임으로 이어지기 전에 해결하는 시스템을 설계할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
무료 피싱 위험 평가를 통해 현재 이메일 보안 시스템이 놓치는 피싱 공격에 대해 자세히 알아보세요.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
피싱 공격이 진화해온 방식
CISO를 위한 3가지 피싱 방지 조치
앞서 나가 최신 피싱 위협을 무력화하는 전략