์ฌ์ ๋ฆฌ๋
์ฐจ์ธ๋ ํผ์ฑ: AI ๋น์ฑ ์ค์บ ์ ๋ถ์
サイバーセキュリティでは、AI가 온라인에서 제기하는 위협은 개인과 조직에 매우 물리적인 영향을 미칠 수 있습니다. 전통적인 피싱 스캠은 AI 도구의 남용을 통해 발전하여 매년 더 자주 발생하고, 더 정교해지고, 탐지하기 더 어려워졌습니다. AI 비싱은 이러한 발전하는 기술 중에서 가장 우려되는 것입니다.
AI 비싱이란?
AI 비싱은 음성 피싱(vishing)의 발전으로, 공격자가 은행 대표 또는 기술 지원 팀과 같은 신뢰할 수 있는 개인을 가장하여 피해자를 속여 자금을 이체하거나 계정에 대한 액세스를 허용하도록 만듭니다.
AI는 음성 클로닝 및 딥페이크와 같은 기술로 비싱 스캠을 강화하여 신뢰할 수 있는 개인의 목소리를 모방할 수 있습니다. 공격자는 AI를 사용하여 전화 통화와 대화를 자동화하여 상대적으로 짧은 시간에 많은 사람을 대상으로 할 수 있습니다.
실제 세계의 AI 비싱
공격자는 취약한 개인부터 기업에 이르기까지 모든 사람을 무차별적으로 AI 비싱 기술을 사용하여 공격합니다. 이러한 공격은remarkably 효과적이었으며, 2023년부터 2024년까지 미국에서 비싱으로 돈을 잃은 사람의 수가 23% 증가했습니다. 이를 이해하기 위해, 최근 몇 년 동안 발생한 가장 유명한 AI 비싱 공격 중 일부를 살펴보겠습니다.
이탈리아 비즈니스 스캠
2025년初, 스캠머들은 이탈리아 국방부 장관인 Guido Crosetto의 목소리를 가장하여 이탈리아의 가장 유명한 비즈니스 리더들을 속이려고 시도했습니다. 그 중에는 패션 디자이너 Giorgio Armani와 Prada의 공동 창립자 Patrizio Bertelli도 포함되어 있었습니다.
Crosetto로 가장한 공격자는 중동에서 납치된 이탈리아 기자들의 석방을 위해 긴급한 금융 지원이 필요하다고 주장했습니다. 이 경우에만 한 명의 표적, 즉 인테르 밀란의 전 소유주 Massimo Moratti가 스캠에 당했으며 경찰은 도난된 자금을 회수할 수 있었습니다.
호텔 및 여행 업체의 공격
월 스트리트 저널에 따르면, 2024년 4분기에는 호텔 및 여행 산업을 대상으로 한 AI 비싱 공격이 크게 증가했습니다. 공격자는 여행 에이전트와 기업 임원들을 가장하여 호텔 프론트 데스크 직원을 속여 기밀 정보를 공개하거나 시스템에 대한 무단 액세스를 허용하도록 했습니다.
그들은 바쁜 고객 서비스 대표에게 공식 연락처를 사용하여 조직에 직접 연락하여 身分을 확인하도록 지시했습니다. 호텔과 협력하는 파트너를 가장하는 AI 도구로 인해 전화 스캠은 “상시적인 위협”으로 간주되었습니다.
로맨스 스캠
2023년, 공격자들은 가족 구성원의 목소리를 가장하여 노인들을 속여 약 20만 달러를 훔쳤습니다. 스캠 전화는 특히 노인들에게 탐지하기 어렵지만, 전화의 다른 쪽 끝에 있는 목소리가 가족 구성원과 정확히 같다면 거의 탐지할 수 없습니다. 이 사건은 2년 전 발생했으며, 그 이후로 AI 음성 클로닝이 훨씬 더 정교해졌습니다.
AI 비싱-어-서비스
AI 비싱-어-서비스(VaaS)는 최근 몇 년 동안 AI 비싱의 성장에 큰 기여를 했습니다. 이러한 구독 모델에는 스푸핑 기능, 사용자 정의 프롬프트 및 적응형 에이전트가 포함되어 있으므로 악의적인 행위자는 대규모로 AI 비싱 공격을 발동할 수 있습니다.
Fortra에서 우리는 AI 비싱-어-서비스 시장의 주요 플레이어 중 하나인 PlugValley를 추적해 왔습니다. 이러한 노력은 위협 그룹에 대한 통찰력을 제공했으며, 더 중요한 것은 비싱 공격이 얼마나 발전하고 정교해졌는지 보여주었습니다.
PlugValley: AI VaaS 공개
PlugValley의 비싱 봇은 위협 행위자가 잠재적 피해자를 조작하기 위해 현실적인 사용자 정의 목소리를 배포할 수 있습니다. 봇은 실시간으로 적응할 수 있으며, 인간의 말 패턴을 모방하고, 발신자 ID를 스푸핑하고, 심지어 음성 통화에 콜 센터 배경 소음을 추가할 수 있습니다. 이것은 AI 비싱 스캠을 가능한 한 설득력 있게 만듭니다. 이것은 사이버 범죄자들이 은행 자격 증명과 일회용 비밀번호(OTP)를 훔치도록 도와줍니다.
PlugValley는 사이버 범죄자에게 기술적인 장벽을 제거하고, 명목상 월간 구독으로 확장 가능한 사기 기술을 제공합니다.
AI VaaS 제공업체인 PlugValley는 스캠만을 운영하는 것이 아니라, 피싱을 산업화하고 있습니다. 그들은 사회 공학의 최신 발전을 나타내며, 사이버 범죄자들이 기계 학습(Machine Learning, ML) 도구를 무기로서 사용하여 대규모로 사람들을 이용할 수 있도록 합니다.
AI 비싱으로부터 보호
AI 기반 사회 공학 기술, 즉 AI 비싱과 같은 기술은 향후 더 일반적이고, 효과적이고, 정교해질 것입니다. 따라서 조직은 사전 예방 전략을 구현하는 것이 중요합니다. 예를 들어, 직원 인식 교육, 강화된 사기 탐지 시스템 및 실시간 위협 인텔리전스를 사용할 수 있습니다.
개인 수준에서는 다음 지침이 AI 비싱 시도를 식별하고 피하는 데 도움이 될 수 있습니다:
- 미청구 전화에 대해 주의하십시오: 예상치 못한 전화에 주의하십시오. 특히 개인 또는 금융 정보를 요청하는 전화입니다. 합법적인 조직은 일반적으로 전화로 민감한 정보를 요구하지 않습니다.
- 발신자 身分을 확인하십시오: 발신자가 알려진 조직을 대표한다고 주장하는 경우, 공식 연락처를 사용하여 직접 조직에 연락하여 身分을 확인하십시오. WIRED는 가족과 비밀 암호를 만들어서 비싱 공격을 탐지하는 것을 제안합니다.
- 정보 공유를 제한하십시오: 미청구 전화 중에 개인 또는 금융 정보를 공개하지 마십시오. 특히 발신자가 긴급성을 tạo거나 부정적인 결과를 위협하는 경우에 주의하십시오.
- 자신과 다른 사람을 교육하십시오: 일반적인 비싱 전략에 대해 알아보고 이 지식을 친구와 가족과 공유하십시오. 인식은 사회 공학 공격에 대한 중요한 방어 수단입니다.
- 의심스러운 전화에 대해 보고하십시오: 관련 당국이나 소비자 보호 기관에 비싱 시도를 보고하십시오. 보고는 사기 활동을 추적하고 완화하는 데 도움이 됩니다.
모든 징조가 보여주듯이, AI 비싱은 여기 남아 있습니다. 실제로,それは 계속해서 증가하고, 실행이 개선될 것입니다. 딥페이크의 普及과 서비스로서의 모델로 인한 캠페인 채택의 용이성으로 인해, 조직은 언젠가 공격을 받을 것으로 예상해야 합니다.
직원 교육과 사기 탐지는 AI 비싱 공격을 준비하고 예방하는 데 핵심입니다. AI 비싱의 정교함은 심지어 잘 훈련된 보안 전문가도 진정한 요청이나 내러티브를 믿도록 만들 수 있습니다. 따라서 기술적인 보호 수단과 일관되게 인식하고 경계하는 작업력을 통합하는 포괄적이고 계층화된 보안 전략이 AI 피싱의 위험을 완화하는 데 필수적입니다.
