무슨 일이 일어났나
AI 기술을 활용한 **스피어 피싱(Spear Phishing)**이 기업 보안의 가장 심각한 위협으로 부상하고 있습니다. 특히 CEO나 CFO 등 고위 임원을 사칭하는 BEC(Business Email Compromise, 비즈니스 이메일 침해) 공격이 딥페이크 기술과 결합하면서 기존 보안 체계로는 탐지가 극히 어려운 수준에 도달했습니다.
2025년 기준, 딥페이크 기반 비싱(Vishing, 음성 피싱) 공격은 전년 대비 1,600% 이상 급증했습니다. BEC 이메일의 40%가 AI로 생성되고 있으며, 전체 피싱 이메일의 82.6%에 AI가 생성한 콘텐츠가 포함되어 있습니다.
실제 피해도 급증하고 있습니다. 미국에서만 딥페이크 관련 사기 피해액이 2025년 **11억 달러(약 1.5조 원)**에 달하며, 이는 전년 3.6억 달러에서 3배 이상 증가한 수치입니다. CEO 사칭 사기는 현재 하루 최소 400개 기업을 타깃으로 삼고 있으며, 음성 복제를 이용한 사기에서 피해를 확인한 사람 중 77%가 실제로 금전 손실을 경험했습니다.
Deepfake-as-a-Service(DaaS) 플랫폼이 2025년부터 급격히 확산되면서, 기술적 전문 지식이 없는 공격자도 고위 임원의 음성을 복제하고 피싱 이메일을 자동 생성할 수 있게 되었습니다.
왜 위험한가
AI 스피어 피싱이 기존 피싱과 근본적으로 다른 이유는 개인화 수준입니다.
음성 복제의 정밀도: 현재 음성 복제 기술은 20~30초의 녹음 샘플만 있으면 설득력 있는 합성 음성을 생성할 수 있으며, 일부 플랫폼은 3초의 샘플로도 가능합니다. 유튜브 인터뷰, 컨퍼런스 발표, 회사 소개 영상 등 공개된 음성 소스가 풍부하기 때문에 타깃의 음성 샘플을 확보하는 것은 어렵지 않습니다.
AI 이메일의 자연스러움: ChatGPT 등 LLM을 활용하면 타깃의 이메일 문체, 서명 스타일, 업무 용어까지 모방한 이메일을 생성할 수 있습니다. 기존 피싱 이메일에서 흔히 보이던 어색한 문법이나 오탈자가 사라지면서 탐지가 더욱 어려워졌습니다.
다채널 공격: 공격자는 이메일, 전화, 메신저를 조합한 다채널 공격을 수행합니다. 먼저 CEO를 사칭한 이메일로 "곧 전화할 테니 준비해달라"고 안내한 뒤, 딥페이크 음성으로 전화하여 긴급 송금을 지시하는 방식입니다. 두 채널이 일관된 메시지를 전달하므로 의심하기가 매우 어렵습니다.
기존 보안 우회: 전통적인 이메일 보안 솔루션은 발신자 주소, 링크, 첨부파일 등 기술적 지표를 기반으로 탐지합니다. AI가 생성한 스피어 피싱은 악성 링크나 첨부파일 없이 순수한 텍스트로 사회공학 공격을 수행하기 때문에 기술적 필터를 통과합니다.
나에게 어떤 영향이 있는가
이 위협은 기업의 규모에 관계없이 영향을 미칩니다. 대기업뿐 아니라 중소기업도 BEC 공격의 주요 타깃입니다. 오히려 보안 인력과 시스템이 부족한 중소기업이 더 취약한 경우가 많습니다.
재무, 회계, 인사 부서의 담당자는 특히 주의가 필요합니다. BEC 공격의 최종 목표는 대부분 자금 이체이므로, 송금 권한이 있는 직원이 가장 빈번한 공격 대상입니다. "CEO가 급하게 처리해달라고 했다"는 이유로 기존 결재 절차를 생략하는 순간 피해가 발생합니다.
일반 직원도 안전하지 않습니다. HR 부서를 사칭하여 급여 계좌 변경을 요청하거나, IT 부서를 사칭하여 비밀번호 재설정을 유도하는 공격도 증가하고 있습니다. 조직 내 누구든 타깃이 될 수 있습니다.
지금 할 수 있는 대응법
개인 차원
긴급 요청에 대해 별도 채널로 확인하세요. CEO나 상급자로부터 긴급 송금, 계정 변경, 비밀번호 제공 요청을 받으면, 해당 메일이나 전화에 직접 답하지 말고 기존에 알고 있는 연락처로 별도 확인하세요. 이것이 BEC 방어의 핵심입니다.
음성 통화도 의심하세요. 전화로 받은 지시라도 금전 이동이 수반된다면 반드시 대면 또는 화상 통화로 재확인해야 합니다. 음성만으로는 딥페이크 여부를 판별하기 어렵습니다.
이메일 발신 주소를 정밀 확인하세요. 도메인의 미세한 차이(예: company.com vs companY.com, company.co vs company.com)를 확인하세요. 모바일에서는 발신자 이름만 표시되는 경우가 많으므로, 전체 이메일 주소를 반드시 펼쳐서 확인해야 합니다.
조직 차원
이중 승인 절차를 의무화하세요. 일정 금액 이상의 송금, 계좌 변경, 권한 변경 등은 반드시 두 명 이상의 승인을 거치도록 프로세스를 수립하세요. 이메일이나 전화 한 통으로 결재가 완료되는 구조는 BEC에 취약합니다.
AI 피싱 대응 교육을 정기적으로 실시하세요. 기존 피싱 교육에 딥페이크 음성, AI 생성 이메일 등 최신 공격 기법을 포함시켜야 합니다. 실제 시나리오 기반의 모의 훈련이 효과적입니다.
이메일 인증(DMARC, DKIM, SPF)을 강화하세요. 이메일 스푸핑을 방지하는 기본적인 기술 조치입니다. DMARC 정책을 reject로 설정하면 사칭 이메일이 수신자에게 도달하는 것을 차단할 수 있습니다.
AI 기반 이메일 보안 솔루션을 검토하세요. 기존 규칙 기반 필터로는 AI 생성 피싱을 탐지하기 어렵습니다. 행동 분석 기반의 AI 보안 솔루션이 이메일 문맥과 발신 패턴의 이상 징후를 탐지할 수 있습니다.
참고