스피어 피싱(SpearPhishing) 을 들어보셨나요?
스피어 피싱(Spear Phishing)은 무작위로 대량 전송하는 일반 피싱(Phishing)과 달리, 특정 개인이나 조직을 노리고 정교하게 제작된 피싱 공격을 의미합니다. 쉽게 말해, 낚시에서 미끼를 마구 뿌리는 ‘트롤링’ 방식이 아닌, 특정 물고기를 노려 작살을 던지는 ‘작살낚시(Spearfishing)’에서 유래한 용어입니다.
공격자는 타깃의 이메일, 직업, 관심사 등을 철저히 조사한 후, 그 사람이 믿을 만한 사람이나 기관으로 위장해 메시지를 보냅니다. 예를 들어, 회사의 인사팀으로 가장해 "급여 명세서를 확인하세요"라는 이메일을 보내거나, 거래처를 사칭해 “거래 명세서를 보내드립니다."라며 악성 링크를 포함한 메시지를 보낼 수도 있습니다.
LLM(ChatGPT 등)을 이용한 스피어 피싱의 진화
KAIST 연구팀의 최근 연구에 따르면, AI 기반의 대형 언어 모델(LLM)이 스피어 피싱 공격을 더욱 정교하게 만드는 데 활용되고 있다고 합니다. 이 연구팀이 진행한 실험에서는 LLM을 사용해 개인 맞춤형 피싱 이메일을 자동 생성한 결과, 실험 참가자의 46.67%가 피싱 링크를 클릭했다고 합니다.
이는 단순한 피싱 이메일보다 훨씬 위험한데, 공격자가 LLM을 이용하면 문법 오류 없이 자연스럽고 설득력 있는 피싱 메시지를 대량으로 만들 수 있기 때문입니다. 기존에는 피싱 이메일이 다소 어색한 문장 구조나 번역 투로 인해 의심을 살 수 있었지만, 이제는 AI가 사람처럼 매끄러운 문장을 생성해 의심을 덜 살 수 있습니다.
스피어 피싱을 피하는 방법
- 출처를 확인하세요: 이메일이나 메시지가 친숙한 이름으로 왔더라도, 발신 주소가 이상하거나 회사 공식 이메일이 아닌 경우 주의해야 합니다.
- 링크 클릭을 자제하세요: 수상한 이메일의 링크나 첨부파일은 클릭하지 말고, 공식 웹사이트에서 직접 확인하는 습관을 들이세요.
- 이중 인증을 활성화하세요: 계정 보안을 강화하기 위해 이중 인증을 설정하면 계정이 탈취되더라도 추가적인 방어막이 됩니다.
- 보안 솔루션을 활용하세요: 최신 보안 업데이트를 유지하고, 피싱 탐지 기능이 있는 보안 프로그램을 사용하는 것이 중요합니다.
블랙쏘세지와 함께 안전하게
스피어 피싱 공격은 클릭 한 번만으로도 개인 정보 유출이나 계정 해킹으로 이어질 수 있습니다. 이를 방지하기 위해 블랙쏘세지는 원격 브라우저 격리 기술을 활용하여, 스마트폰에서 발생한 링크를 원격 환경에서 열어 안전하게 볼 수 있도록 지원합니다.
스피어 피싱으로 인한 피해를 예방하고 싶다면, 어떤 링크도 안심하고 열 수 있는 블랙쏘세지를 활용해 보세요.
