수년 동안 기업은 직원에게 피싱 시도를 발견하고 신고하는 방법을 가르치기 위해 보안 인식 교육 프로그램에 투자해 왔다. 하지만 사이버보안 업체 넷스코프(Netskope)의 최신 보고서에 따르면, 이런 노력에도 불구하고 2024년 기업 사용자가 피싱 페이지에 접속할 가능성은 전년 대비 3배 증가한 것으로 나타났다.

넷스코프가 보안 웹 게이트웨이와 클라우드 기반 SASE 플랫폼에서 수집한 원격 측정 데이터를 분석한 결과, 지난 1년 동안 매달 1,000명의 사용자 중 8.4명이 피싱 링크를 클릭했다. 2023년에는 이 비율이 2.9명에 불과했다.

연례 클라우드 및 위협 보고서(Cloud and Threat Report)에서 넷스코프는 “이런 증가의 주요 요인은 사용자가 끊임없이 피싱 시도에 시달리는 인지적 피로와 탐지하기 어려운 미끼를 전달하는 공격자의 창의성과 적응력”이라고 설명했다.

LLM의 확산도 이런 급증에 영향을 미친 것이 거의 확실하다. LLM을 통해 공격자는 더 다양하고 문법적으로 정확하며, 모든기업을 대상으로 하는 피싱 미끼를 쉽게 자동화할 수 있기 때문이다.

검색 엔진 결과를 통한 피싱

기업의 피싱 탐지 훈련 대부분은 피싱 이메일을 탐지하는 데 중점을 둔다. 하지만 사용자의 인증 정보를 도용하기 위해 가짜 웹사이트로 연결되는 링크를 클릭하도록 유도하는 방법은 피싱 이메일뿐만이 아니다.

넷스코프의 데이터에 따르면 피싱 클릭의 대부분은 웹의 다양한 위치에서 발생한다. 검색 엔진이 가장 많이 참조되는 것으로 나타났다. 공격자는 악성 광고를 실행하거나 특정 검색어에 대한 상위 검색 엔진 결과에 악성 링크를 삽입하는 이른바 SEO 포이즈닝(SEO poisoning) 기법을 사용하여 큰 성공을 거두었다.

피싱 페이지로 연결되는 또 다른 주요 경로로는 쇼핑, 기술, 비즈니스 및 엔터테인먼트 웹사이트가 대표적이다. 이런 사이트에 악성 링크를 삽입하는 방법은 댓글 섹션에 스팸을 게시하거나, 악성 광고를 구매한 다음 광고 네트워크를 통해 해당 사이트에 표시하거나(멀버타이징), 사이트 자체를 손상시켜 피싱 팝업을 페이지에 직접 삽입하는 방식 등이다.

넷스코프 보고서 집필팀은 “피싱 소스의 다양성은 공격자의 창의적인 소셜 엔지니어링 실력을 보여준다. 공격자는 피해자가 받은 메일함에서 링크를 클릭하지 말라는 교육을 반복적으로 받아 경계심을 가질 수 있다는 점을 잘 알고 검색 엔진 결과의 링크는 훨씬 더 자유롭게 클릭한다는 점을 악용하고 있다”라고 말했다.

피싱 공격의 주요 표적은 클라우드 애플리케이션 자격 증명으로, 마이크로소프트 365가 42%로 가장 많이 공격당했다. 어도비 도큐먼트 클라우드(18%), 도큐사인(15%)이 뒤를 이었다. 많은 피싱 사이트는 이들 서비스의 로그인 페이지로 위장했으며, 오피스 365, 아웃룩, AOL, 야후 등 다른 인증 서비스 업체를 통한 로그인 옵션도 제공한다.

넷스코프 위협 연구소 디렉터 레이 칸자네즈는 필자와의 인터뷰에서 “LLM이 더 설득력 있는 피싱 미끼를 만드는 방법을 제공했다는 것에는 의심의 여지가 없다. LLM은 스팸 필터를 우회하고 피해자를 속일 확률을 높이기 위해 더 나은 현지화와 다양한 변형을 제공한다”라고 지적했다.

심지어 사이버 범죄자들은 더 설득력 있는 피싱 미끼를 작성할 수 있다고 주장하며 웜GPT(WormGPT)나 프로드GPT(FraudGPT)와 같은 LLM 기반 전용 챗봇을 만들어 다크 웹 포럼에서 광고 및 판매하고 있다.

칸자네즈는 “생성형 AI 툴이 보다 광범위하게 표적 피싱 캠페인에 사용되는 것을 목격하고 있다. 주로 표적 기업의 유명 인물을 모방하는 방식으로 이루어진다. 공격자는 LLM로 생성한 메시지를 보내거나 딥페이크 오디오 및 비디오를 사용하기도 한다”라고 덧붙였다.

딜로이트의 설문조사에 따르면, 딥페이크 기술을 활용한 사기 공격이 기업 내에서 증가하고 있다. 경영진의 15%가 딥페이크 사기를 통해 자사의 재무 데이터가 사이버 범죄의 표적이 되었다고 밝혔다.
dl-itworldkorea@foundryco.com