기업을 겨냥한 AI 비싱 공격이 폭발하고 있습니다
2026년 3월 현재, AI 음성 복제 기반 비싱(Vishing, Voice + Phishing) 공격이 기업 환경에서 전례 없는 수준으로 급증하고 있습니다. CrowdStrike와 Vectra AI의 분석에 따르면, 비싱 공격은 2024년 하반기 대비 442% 증가했으며, 기업 피싱 사고 대응의 60% 이상이 음성 기반 공격과 관련되어 있습니다.
이전에는 개인을 대상으로 한 소규모 사기가 대부분이었지만, 2025-2026년에는 기업 임원 사칭, IT 헬프데스크 위장, 공급망 파트너 가장 등 조직적 공격으로 진화했습니다. ShinyHunters/Scattered Spider 그룹은 비싱을 초기 침투 수단으로 활용해 760개 이상의 기업을 침해한 것으로 알려졌습니다.
왜 기업 비싱이 특히 위험한가
개인 대상 보이스피싱과 기업 비싱은 피해 규모가 다릅니다.
구별 불가능한 음성 품질: Fortune의 2026년 딥페이크 전망에 따르면, AI 생성 음성은 "구별 불가능 임계점(Indistinguishable Threshold)"을 넘었습니다. 일반인이 실제 목소리와 복제 목소리를 구별할 확률은 사실상 동전 던지기 수준입니다.
3초면 충분한 음성 샘플: 최신 음성 복제 모델은 3~5초 분량의 음성만으로 목소리를 복제합니다. CEO의 실적 발표 영상, LinkedIn 인터뷰, 사내 교육 동영상 등 공개된 음성 소스가 풍부합니다.
기업 피해 규모: Pindrop 보고서에 따르면, 콜센터당 평균 딥페이크 사기 노출 금액은 34만 3천 달러입니다. 2025년 1월~9월 사이 미국에서만 AI 딥페이크 사기로 인한 손실이 30억 달러를 넘었습니다.
| 지표 | 수치 | |------|------| | 비싱 공격 증가율 (2024 H2 대비) | 442% | | 기업 비싱 피해 대상 조직 수 (Scattered Spider) | 760+ | | 딥페이크 사기 피해자 중 금전 손실 비율 | 77% | | 딥페이크 사기 피해 중앙값 | $1,400 | | 2027년 예상 글로벌 딥페이크 사기 손실 | $40B |
실제 공격 시나리오
기업 비싱 공격은 주로 세 가지 시나리오로 진행됩니다.
시나리오 1: CEO/CFO 사칭 긴급 송금 공격자가 CEO의 목소리를 복제하여 재무팀에 전화합니다. "지금 바로 이 계좌로 송금해달라"는 긴급 지시를 내립니다. 2025년 초 이탈리아에서는 국방장관 구이도 크로세토의 목소리가 복제되어 유명 기업인들에게 전화가 걸린 사건이 발생했습니다.
시나리오 2: IT 헬프데스크 위장 "보안 점검 차 비밀번호를 재설정해야 합니다"라는 전화가 IT 부서 동료의 목소리로 걸려옵니다. 피해자는 의심 없이 자격증명을 제공합니다. FBI는 2025년 5월 PSA-250515를 통해 이 유형의 공격을 공식 경고했습니다.
시나리오 3: 공급망 파트너 사칭 거래처 담당자의 목소리를 복제하여 "계좌가 변경되었다"는 연락을 합니다. 기존 거래 관계가 있기 때문에 의심하기 어렵습니다.
지금 할 수 있는 대응법
-
음성 기반 지시에 대한 이중 확인 체계 도입: 전화로 받은 송금/계정 변경 요청은 반드시 별도 채널(이메일, 사내 메신저)로 재확인합니다. "콜백 정책"을 수립하여 중요 지시는 직접 다시 전화하여 확인하세요.
-
직원 대상 비싱 시뮬레이션 훈련: 기존 이메일 피싱 훈련에 음성 기반 공격 시나리오를 추가합니다. 특히 재무팀, 인사팀, IT 헬프데스크 담당자를 우선 대상으로 합니다.
-
MFA(다중 인증) 강화: 전화 한 통으로 비밀번호를 재설정하거나 권한을 변경할 수 없도록 합니다. 음성 인증 단독 사용을 금지하고, 하드웨어 보안 키 또는 TOTP 기반 MFA를 적용합니다.
-
공개 음성 소스 최소화: 임원의 공개 발표 영상, 팟캐스트 출연 등이 음성 복제에 사용될 수 있음을 인지합니다. 민감한 직책의 담당자는 불필요한 음성 노출을 줄이는 것이 좋습니다.
-
AI 음성 탐지 솔루션 도입 검토: Pindrop, Attestiv 등 딥페이크 음성 탐지 솔루션을 콜센터와 고위험 통화 채널에 적용하는 것을 검토합니다.
참고 링크