“월마트 직원 에마입니다. 플레이스테이션5가 주문됐는데 본인이 맞나요.”
최근 미국에서는 월마트를 사칭한 이 전화 한 통에 수백만 명이 속아 넘어갔다. 수화기 너머의 목소리는 사람이 아니라 인공지능(AI)이었다. 미국 연방통신위원회(FCC)는 지난 2일 월마트 직원을 사칭해 약 800만 건의 사기 전화를 건 통신 사업자 SK텔레코에 즉각 차단 명령을 내렸다.
4일 로이터 등 주요 외신과 유통업계에 따르면 AI 기술 발전으로 해킹 패러다임이 과거 시스템 침투 위주에서 ‘신원 도용’으로 바뀌고 있다. 월마트 사례에서 해커들은 생성형 AI를 이용해 진짜 사람처럼 자연스러운 목소리를 만들어냈다.
쿠팡의 대규모 개인정보 유출 사태도 신원을 탈취해 방화벽을 우회한 사건이었다. 3370만 명의 정보가 털렸지만, 시스템을 손상한 흔적은 없었다. 류제명 과학기술정보통신부 2차관은 2일 “공격자가 훔친 암호키를 이용해 정상적인 로그인 절차 없이 접속했다”고 했다.
이는 사이버 공격의 최근 트렌드다. 보안 기업 크라우드스트라이크의 ‘2024 글로벌 위협 보고서’에 따르면 지난해 발생한 전체 사이버 공격의 약 75%가 악성코드를 사용하지 않은 ‘비(非)멀웨어(malware-free)’ 공격이었다.
생성 AI의 등장은 해킹 진입장벽을 낮추고 공격의 정교함을 극대화하고 있다. 과거 피싱 메일이나 보이스피싱은 어색한 말투나 오타로 식별이 어느 정도 가능했다. 하지만 지금은 챗GPT 같은 대규모언어모델(LLM)이 거의 완벽한 문장을 구사하고, 임직원의 업무 스타일까지 학습해 ‘미끼’를 던진다. 보안 업체 슬래시넥스트에 따르면 2022년 말 챗GPT 출시 이후 1년 만에 악성 피싱 이메일 공격 건수가 1265% 폭증했다.
특히 유통업계는 해커들이 가장 좋아하는 타깃 중 하나다. 현금화 가능한 포인트와 결제 정보가 넘쳐나기 때문이다.
안재광 기자 ahnjk@hankyung.com
최근 미국에서는 월마트를 사칭한 이 전화 한 통에 수백만 명이 속아 넘어갔다. 수화기 너머의 목소리는 사람이 아니라 인공지능(AI)이었다. 미국 연방통신위원회(FCC)는 지난 2일 월마트 직원을 사칭해 약 800만 건의 사기 전화를 건 통신 사업자 SK텔레코에 즉각 차단 명령을 내렸다.
4일 로이터 등 주요 외신과 유통업계에 따르면 AI 기술 발전으로 해킹 패러다임이 과거 시스템 침투 위주에서 ‘신원 도용’으로 바뀌고 있다. 월마트 사례에서 해커들은 생성형 AI를 이용해 진짜 사람처럼 자연스러운 목소리를 만들어냈다.
쿠팡의 대규모 개인정보 유출 사태도 신원을 탈취해 방화벽을 우회한 사건이었다. 3370만 명의 정보가 털렸지만, 시스템을 손상한 흔적은 없었다. 류제명 과학기술정보통신부 2차관은 2일 “공격자가 훔친 암호키를 이용해 정상적인 로그인 절차 없이 접속했다”고 했다.
이는 사이버 공격의 최근 트렌드다. 보안 기업 크라우드스트라이크의 ‘2024 글로벌 위협 보고서’에 따르면 지난해 발생한 전체 사이버 공격의 약 75%가 악성코드를 사용하지 않은 ‘비(非)멀웨어(malware-free)’ 공격이었다.
생성 AI의 등장은 해킹 진입장벽을 낮추고 공격의 정교함을 극대화하고 있다. 과거 피싱 메일이나 보이스피싱은 어색한 말투나 오타로 식별이 어느 정도 가능했다. 하지만 지금은 챗GPT 같은 대규모언어모델(LLM)이 거의 완벽한 문장을 구사하고, 임직원의 업무 스타일까지 학습해 ‘미끼’를 던진다. 보안 업체 슬래시넥스트에 따르면 2022년 말 챗GPT 출시 이후 1년 만에 악성 피싱 이메일 공격 건수가 1265% 폭증했다.
특히 유통업계는 해커들이 가장 좋아하는 타깃 중 하나다. 현금화 가능한 포인트와 결제 정보가 넘쳐나기 때문이다.
안재광 기자 ahnjk@hankyung.com
관련뉴스
