생성형 AI 기반 피싱, 가짜 CAPTCHA로 보안 우회…개발 플랫폼 신뢰도 악용
컨텐츠 정보
- 조회 501
본문
사이버 범죄자가 생성형 AI를 이용해 보안 필터를 우회하는 피싱 캠페인을 벌이고 있다. 사용자에게 실제 인증처럼 보이는 가짜 CAPTCHA 페이지를 만들어 민감한 정보를 탈취하는 방식이다.
트렌드마이크로에 따르면, 이 가짜 CAPTCHA는 정식 보안 인증 시스템의 디자인과 작동 방식을 정교하게 흉내 내고 있으며, 2024년 1월부터 다양한 플랫폼에서 발견되기 시작했고 8월부터 다시 급증하고 있다.
피싱 도구로 전락한 피싱 도구
공격자는 러버블(Lovable), 버셀(Vercel), 넷리파이(Netlify)와 같은 로우코드 개발·호스팅 플랫폼을 악용하고 있다. 이 플랫폼들은 원래 소프트웨어 개발의 진입 장벽을 낮추기 위해 설계됐지만, 이제는 비전문가도 손쉽게 피싱 사이트를 구축할 수 있는 수단이 되고 있다.
트렌드마이크로는 “러버블에서는 클릭 몇 번만으로 가짜 피싱 페이지를 생성할 수 있고, 넷리파이와 버셀은 CI/CD 파이프라인에 AI 기반 코딩 도구를 쉽게 통합해 자동화된 방식으로 가짜 페이지를 제작할 수 있다”라고 설명했다.
이러한 방식은 전문적인 기술 역량 없이도 가능하고, 무료로 호스팅할 수 있어 공격자의 비용 부담도 거의 없다. 더불어 버셀.app, 넷리파이.app과 같은 플랫폼 기반 도메인을 활용하면, 해당 플랫폼의 신뢰도까지 함께 가져갈 수 있어 피해자가 속을 가능성이 높아진다.
프라이머스파트너스 공동 창립자인 데브루프 다르는 “과거에는 피싱 페이지를 일일이 제작해야 했지만, 이제는 몇 분 만에 수십 개를 자동으로 만들고 배포할 수 있다. 규모와 속도 모두에서 차원이 다르다”라고 밝혔다.
다르는 “공격자는 기존에 만들어진 페이지를 약간 수정하는 것만으로 전문가처럼 보이는 피싱 키트를 완성할 수 있다”라고 분석했다.
트렌드마이크로는 버셀에서 52건, 러버블에서 43건, 넷리파이에서 3건의 악성 사이트를 탐지했다. 초기에는 러버블이 주로 악용됐지만, 현재는 버셀 기반 피싱이 더 늘어난 상황이다.
사용자를 속이는 2단계 기법
이러한 피싱 공격은 전형적인 구조를 따른다. 피해자는 “비밀번호 재설정 필요” 또는 “주소 변경 알림” 등의 급박한 메시지가 담긴 스팸 메일을 받는다. 이메일 내 링크를 클릭하면 자격 증명 탈취 페이지로 바로 이동하지 않고, 먼저 보안 인증처럼 보이는 CAPTCHA 페이지가 나타난다.
이로 인해 사용자는 정식 인증 절차라고 오해하고 의심 없이 클릭을 진행하게 된다.
트렌드마이크로는 “보안 탐지 시스템은 해당 페이지를 분석해도 CAPTCHA 화면만 탐지할 수 있어, 그 뒤에 숨겨진 실제 피싱 기능은 식별하지 못할 수 있다”라고 설명했다. 사용자가 CAPTCHA 검증을 마치면, 그제야 실제 피싱 사이트로 이동해 계정 정보 등 민감한 데이터를 입력하도록 유도된다. 대상은 주로 마이크로소프트 365 계정이다.
다층 보안 체계가 필요하다
생성형 AI 기반 피싱 공격이 기존 보안 시스템을 우회하면서, 기업은 방어 체계를 근본적으로 재구축하고 있다. 특히 패스키와 피싱 저항형 다중 인증(MFA)은 금융·기술 업계를 중심으로 빠르게 확산 중이다.
그레이하운드리서치의 산칫 비르 고기아 CEO는 “가장 효과적인 방어 전략은 사용자 행동 기반 탐지와 플랫폼 책임성을 결합하는 것이다. 보안 솔루션은 클릭 흐름을 시뮬레이션하고 리디렉션 경로를 추적해야 하며, 플랫폼 제공자는 악용을 방지할 수 있는 제어 장치를 갖춰야 한다”라고 강조했다.
고기아는 “탐지만으로는 충분하지 않다. 자격 증명이 유출되더라도 그것이 악용되지 않도록 만드는 복원력이 핵심”이라고 설명했다. 그는 교육 역시 단순한 이론 강의가 아니라 현실 기반의 시뮬레이션 중심으로 재편돼야 한다고 지적했다. 예를 들어, CAPTCHA 앞에 배치된 피싱 시나리오 훈련, 신규 도메인 접근 차단 정책, 계정 로그인에 대한 고도화된 통제가 포함된다.
데브루프 다르는 “페이지가 갑자기 로그인 화면으로 바뀌거나, 신뢰할 수 없는 도메인으로 데이터를 전송하려 한다면 경계해야 한다”라고 말했다. 그는 “외부로 전송되는 트래픽 역시 주의 깊게 살펴야 한다. 탈취된 데이터가 빠져나가는 순간이 가장 빠른 경고 신호가 될 수 있다”라고 강조했다.
결국 사용자 인식이 가장 중요한 최종 방어선이다. 직원은 의심스러운 CAPTCHA 도전 과제를 인식하고, 클릭 전 항상 URL을 확인하며, 비밀번호 관리자가 자동 입력을 거부할 경우 경고 신호로 인식하고, 이상 징후를 신속하게 보고해야 한다.
dl-itworldkorea@foundryco.com
관련자료
-
링크
-
이전
-
다음
