‘챗GPT’와 같은 새로운 인공지능(AI) 도구가 피싱 메일 증가를 가속화시킬 수 있다는 연구 보고서가 나왔다.
이메일 보안 회사인 베이드는 9일(현지시간) 이같은 내용을 담은 ‘2022년 4분기 피싱 및 악성코드 보고서’를 발표했다.
이에 따르면 지난해 하반기에 총 피싱 이메일은 61% 증가했다. 지난해 4분기에는 2억7830만개의 피싱 이메일을 추적할 수 이었다. 3분기에 비해 피싱 규모가 36% 증가했다. 같은 기간 멀웨어가 포함된 이메일은 5890만개로 탐지됐다. 전체 멀웨어 규모는 12% 증가했다.
해커들이 사칭하기를 가장 선호하는 브랜드로는 페이스북이 꼽혔다. 마이크로소프트, 페이팔, 구글 및 넷플릭스가 뒤를 이었다. 피싱 공격의 최고의 표적으로는 ‘마이크로소프트 365’와 ‘구글 워크스페이스’인 것으로 나타났다.
이메일은 피싱 및 멀웨어 를 배포하는 최고의 수단이며 해커가 사용자를 착취하고 계정을 손상시킬 수 있는 편리하고 확장 가능하며 효율적인 수단을 제공한다.
분석에 따르면 최근에는 정교한 PaaS(Phishing-as-a-Service) 키트와 AI 챗봇인 ‘챗GPT’와 같은 도구의 출현으로 전문적인 기술이 없더라도 누구나 피싱 공격자가 될 수 있는 형태로 피싱 공격의 변화가 감지되고 있다.
초보 해커도 피싱 키트를 구입하면 매우 설득력 있고 효과적인 수법으로 공격할 수 있다. 이 키트는 피해자의 모국어를 기반으로 피싱 페이지를 자동으로 현지화하는 기능으로 공격자가 다국어를 구사하지 않고도 신속하게 다양한 지역을 목표로 삼을 수 있는 편리한 도구다.
이 기능은 대상 사용자 브라우저의 언어 설정을 식별하고 이를 활용해 그에 따라 피싱 페이지를 업데이트하고 표시하는 방식으로 작동한다.
특히 지난 11월에 오픈AI가 출시한 챗GPT를 사용하면 기술 전문 지식이나 코딩 지식 없이도 악성 코드와 설득력 있는 피싱 이메일을 생성할 수 있다.
해커는 피싱 이메일과 악성 코드를 몇 초 만에 작성할 수 있도록 하는 명령을 사용해 챗GPT를 무기화해 대량의 정교한 피싱 콘텐츠를 효율적으로 생성할 수 있다.
토드 스탠스필드 베이드 콘텐츠 마케팅 관리자는 "지난해 10개 기업 중 거의 7개 기업이 이메일 보안을 우회하는 심각한 데이터 유출을 경험했다"라고 말했다.
또한 피싱의 문제는 공격자가 자격 증명을 획득하는 것으로 끝나는 것이 아니라 궁극적으로 이러한 자격 증명을 기업 네트워크에 침투하여 데이터를 훔치고 랜섬웨어 및 기타 멀웨어를 배포하고 기타 범죄에 가담할 수 있다는 것이다.
스탠스필드는 "최신 위협 인텔리전스와 핵심 AI 기술 집합을 사용하여 알려지거나 알려지지 않은 위협에 대한 예측 방어를 제공할 수 있는 협업 및 AI 강화 솔루션이 앞으로 나아갈 길이다”라고 강조했다.
박찬 위원 cpark@aitimes.com
