AI 피싱 클릭률 54%, 스미싱 219만 건, 딥페이크 화상회의 330억 원 피해. Kimsuky부터 DocuSign 사칭까지 실제 사례 5건에서 추출한 판별 원칙 5가지.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년 1월, 한 외교 전문가에게 이메일이 도착했다. 발신자는 독일 경제지 한델스블라트의 동아시아 특파원을 자칭했다. "윤석열 대통령 체포 관련 인터뷰를 요청한다"는 내용이었다. 몇 차례 일정 조율 이메일이 오간 뒤, "사전 질문지"라는 첨부 파일이 도착했다.
첨부 파일을 열자 가짜 CAPTCHA 화면이 떴다. 지시에 따라 명령어를 실행하면 QuasarRAT이 설치된다. 북한 해킹 그룹 Kimsuky의 공격이었다. 이메일에는 결정적 단서가 있었다. "내일"을 뜻하는 단어로 남한식 "내일" 대신 북한식 "래일"이, "명령" 대신 "지령"이 사용돼 있었다.
문법 오류, 어색한 번역, 이상한 인사말. 예전에는 이런 단서로 피싱을 구별할 수 있었다. 더 이상 통하지 않는다.
Microsoft의 2025년 디지털 방어 보고서에 따르면, AI가 작성한 피싱 이메일의 클릭률은 54%다. 사람이 작성한 피싱의 클릭률 12%보다 4.5배 높다. Hoxhunt의 250만 명 대상 테스트에서도 2025년 3월 기준 AI 피싱이 엘리트 레드팀보다 23.3% 더 효과적이었다.
AI는 문법을 정확하게 교정하고, 수신자의 직장과 관심사에 맞춘 개인화 이메일을 5분 만에 생성한다. IBM 연구에 따르면 보안 전문가가 16시간 걸리는 작업이다. 이제 "문법이 이상하면 피싱"이라는 규칙은 버려야 한다.
AI가 피싱을 4.5배 더 효과적으로 만들었다
2024년 11월, 기업 재무 담당자들에게 DocuSign 이메일이 도착했다. Norton LifeLock 360 구독비 $298 청구서에 서명을 요청하는 내용이었다. 이메일은 진짜 DocuSign 서버에서 발송됐다. SPF, DKIM, DMARC 인증을 모두 통과했다.
공격자는 실제 DocuSign 유료 계정을 만들고, API를 이용해 정식 인프라에서 피싱 이메일을 보냈다. 보안 장비는 이 이메일을 정상으로 판단했다. 기업 서비스데스크에 주당 3~5건씩 접수됐다.
판별 포인트: "내가 요청한 것인가?" 이메일의 기술적 정당성(발신 도메인, 인증 통과)과 상관없이, 내가 구매하지 않은 서비스의 청구서는 무조건 의심해야 한다. 발신 인프라가 정상이더라도 요청 자체의 논리적 타당성을 먼저 확인한다.
2024년, 엔지니어링 기업 Arup의 홍콩 사무소 재무 담당자가 이메일을 받았다. 긴급 송금 요청이었다. 의심이 들어 확인을 요청하자, 화상회의 초대가 왔다. CFO와 임원 여러 명이 참석한 것처럼 보였다. 담당자는 $2,500만(약 330억 원)을 이체했다.
화상회의의 모든 참석자가 AI가 생성한 딥페이크였다. 공개된 영상과 음성을 기반으로 얼굴과 목소리를 복제한 것이다. 현재 기술로 목소리를 복제하는 데 필요한 원본 음성은 3초다.
판별 포인트: "다른 채널로 확인했는가?" 이메일로 받은 요청은 이메일로 확인하면 안 된다. 긴급 송금이나 비밀번호 변경 요청을 받으면, 기존에 알고 있는 전화번호로 직접 전화해서 확인한다. 이메일에 적힌 번호가 아니라 내가 이미 저장해 둔 번호다.
2025년 5~6월, Kimsuky는 싱크탱크와 대사관 직원들에게 이메일을 보냈다. "설문지 작성"이나 "보안 드라이브 접근"을 위해 QR코드를 스캔하라는 내용이었다. FBI는 2026년 1월 이 수법에 대한 공식 경고를 발표했다.
QR코드를 스캔하면 가짜 Microsoft 365 로그인 페이지로 이동한다. 비밀번호와 MFA 토큰까지 탈취해 세션을 가로챈다. QR코드가 위험한 이유는 모바일로 공격을 이동시키기 때문이다. 회사 PC에는 보안 소프트웨어가 있지만, 개인 스마트폰에는 없는 경우가 많다.
QR코드 피싱은 2023년 대비 400% 증가했다. 전체 피싱의 12%가 QR코드를 포함하고, 그중 68%가 모바일 사용자를 노린다.
판별 포인트: "이메일 속 QR코드는 무조건 의심한다." 정상적인 기업이나 기관은 이메일에 QR코드를 넣어 로그인을 요청하지 않는다. QR코드를 스캔하기 전에 공식 웹사이트에 직접 접속한다.
한국에서 가장 많은 스미싱은 택배 사칭이다. 전체 스미싱 신고의 87%를 차지한다. "CJ대한통운 배송 불가 안내"라는 문자의 링크를 누르면 악성 앱이 설치된다.
2025년 12월, Kimsuky는 실제로 CJ대한통운을 사칭한 스미싱으로 DocSwap이라는 안드로이드 악성코드를 배포했다. 설치되면 키보드 입력, 마이크, 카메라, 파일까지 전부 탈취한다.
KISA에 따르면, 2024년 한국의 스미싱 탐지 건수는 219만 건이다. 2022년 3만 7,000건에서 2년 만에 59배 증가했다. 2025년 상반기에만 이미 100만 건을 넘었다.
| 연도 | 스미싱 탐지 건수 |
|---|---|
| 2022 | 37,000건 |
| 2023 | 500,000건 |
| 2024 | 2,196,469건 |
| 2025 상반기 | 1,005,434건 |
판별 포인트: "문자 속 링크는 누르지 않는다." 택배 조회는 해당 택배사 공식 앱이나 웹사이트에서 직접 한다. 문자에 포함된 링크는 아무리 그럴듯해도 클릭하지 않는다.
"과태료 납부 안내", "세무조사 통지", "추가세금 안내." 발신 주소가 hometaxadmin@hometax.go.kr로 보인다. 하지만 이 주소는 위조된 것이다.
국세청은 공식적으로 과태료, 세무조사, 추가세금에 대한 이메일을 보내지 않는다. 이런 이메일의 링크를 클릭하면 가짜 다음(Daum) 로그인 페이지로 이동해 계정 정보를 탈취한다. 정부24, 건강보험공단 사칭도 같은 패턴이다.
판별 포인트: "공식 기관은 이메일로 과태료를 고지하지 않는다." 세금, 보험료, 과태료 관련 안내는 홈택스나 정부24에 직접 로그인해서 확인한다. 이메일이나 문자의 링크가 아니라 브라우저에서 직접 주소를 입력한다.
사례 5: 국세청에서 온 이메일은 없다
| 원칙 | 설명 |
|---|---|
| 요청의 타당성 | 내가 구매하지 않은 청구서, 신청하지 않은 환불은 무조건 의심 |
| 다른 채널 확인 | 이메일 요청은 전화로, 문자 요청은 공식 앱으로 확인 |
| 링크 대신 직접 접속 | 이메일/문자의 링크 대신 브라우저에 직접 주소 입력 |
| QR코드 경계 | 이메일 속 QR코드로 로그인 요청하는 기관은 없다 |
| 긴급함을 의심 | "지금 당장", "24시간 내" 같은 압박은 공격자의 전형적 수법 |
AI가 피싱 이메일의 문법을 정확하게 만든 시대다. 문법이 아니라 맥락으로 판단해야 한다. "이 요청이 논리적으로 타당한가?" "내가 알고 있는 번호로 확인할 수 있는가?" 이 두 질문만으로 대부분의 피싱을 걸러낼 수 있다.