새로운 사이버 보안 위협인 생성형 AI를 활용한 해킹메일, 피싱메일, 혹스메일의 예방법 - 악성메일 모의훈련

해킹메일, 피싱메일, 혹스메일, 스피어피싱···

 

가장 보편적이면서도 타격감 높은 APT 공격 유형인 ‘악성메일’입니다. 개인을 대상으로도 많이 발생하지만, 기업 혹은 기관을 대상으로 큰 규모의 자산을 탈취하는 사건이 빈번히 발생하곤 합니다.

 

파수가 포스팅에서 여러 번 다룬 주제이기도 한데요. 최근엔 악성메일 공격이 새로운 양상을 보이고 있습니다. 본격적으로 우리의 삶을 바꾸고 있는 생성형 AI의 등장과 발전 덕분(?)이죠.

 

일상생활은 물론 업무에도 활용되기 시작한 생성형 AI는 새로운 보안 위협을 동반합니다. 주로 서비스를 이용하며 발생하는 정보유출 문제를 생각하실텐데요. 그 활용성이 무궁무진한 만큼, 악의적으로도 다양하게 활용할 수 있습니다. 오늘은 생성형 AI 기술을 활용한 악성메일 공격의 고도화와 이에 대응할 수 있는 방법에 대해 말씀드려보고자 합니다.

 

생성형 AI의 양면성

 

새해를 맞아 다양한 기업 및 기관에서 2024년의 보안 위협에 대한 분석을 내놓고 있습니다. 대부분의 분석에서 빠지지 않는 카테고리 중 하나가 생성형 AI인데요. 과학기술정보통신부에서 발표한 <2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망> 보고서 또한 앞으로 생성형 AI를 악용한 사이버 범죄가 증가할 것으로 전망했습니다.

 

그 예시로 강조한 사항이 바로 악성메일 공격의 고도화입니다. 생성형 AI는 악성코드 제작은 물론 공격 계획부터 분석까지 전 과정을 보다 쉽고 정교하게 지원할 수 있다는 분석입니다.

 

생성형 AI를 활용한 악성메일 고도화

 

악성메일 공격의 핵심은 ‘공격 대상을 얼마나 잘 속이는가’입니다. 대상이 의심하지 않고 본문 속 링크를 누르도록, 첨부파일을 열어보도록 유도해야 유효한 공격을 할 수 있죠.

 

생성형 AI는 이를 더 정교하게 합니다. 특정 분야 및 기술에 대한 지식이 전무하고 비즈니스 영역과 용어에 익숙하지 않더라도, 대상이 속을 법한 이메일 본문을 작성해줍니다. 위 보고서에 따르면 이미 본문과 악성 프로그램 제작까지 도와주는 사이버 범죄 도구가 발견되기도 했습니다.

 

이 뿐만이 아닙니다. 생성형 AI는 악성메일 공격 전후로 대상의 정보를 수집하고 분석하는 과정에도 활용됩니다. 즉, 생성형 AI를 악성메일 공격의 전 과정에 걸쳐 사용한다는 의미입니다. 속도, 양, 질적인 측면 모두에서 기존 방식을 개선하기 때문에 공격자들에겐 그야말로 혁신이죠.

 

악성메일 공격 전과정에 사용되는 생성형 AI

 

여전히 악성메일 공격을 막을 수 있는 완벽한 방법은 없습니다. 해킹메일, 피싱메일, 혹스메일 등 악성메일은 기본적으로 공격 대상, 즉 사람의 심리를 이용한 공격이기 때문입니다. 조직 차원에서 메일 보안 및 차단 솔루션을 도입하더라도, 쏟아지는 메일에 투입하는 리소스가 상당할 것이고, AI를 통해 생산되는 무수한 변주에 모두 대응하기란 사실상 불가능하죠.

 

포스팅에서 여러 번 강조했듯 악성메일에 대응할 수 있는 최고의 방법은 보안 의식의 함양입니다. 임직원들이 심리를 이용한 공격에 당하지 않을 수 있는 보안 인식, 마인드셋을 갖춘다면 고도화되는 악성메일 공격에 올바른 대처가 가능하죠.

 

악성메일 공격 예방법, 보안 의식 제고

 

투입 없는 산출은 없습니다. 보안 인식도 훈련과 교육이 필요합니다. 업무 과정에서 실제로 받는 메일과 유사한 악성메일에 대응하는 훈련과 우리 조직이 마주칠 수 있는 각종 보안 위협에 대한 교육으로 보안 의식을 제고해야 합니다.

 

파수의 Mind-SAT은 차별화된 악성메일 모의훈련을 제공하는 서비스입니다. 대상 조직 환경 분석을 바탕으로 최신 정보보호 및 사회적 이슈를 반영한 구체적인 시나리오로 훈련을 진행합니다. 훈련 후에는 임직원들의 신고율, 참여율, 열람율 등 결과를 분석할 수 있습니다. 내부적으로 신고센터를 운영할 수 없다면 대행 운영도 가능합니다. 반복적인 훈련과 분석을 통해 임직원들의 보안 의식 향상을 분명 체감하실 겁니다.

 

임직원 보안 교육 또한 제공하는데요. 진행한 악성메일 훈련 결과를 토대로 교육이 필요한 상황을 분석해 교육합니다. 그 외에도 최근 이슈가 되는 생성형 AI 관련 보안, 조직에게 발생할 가능성이 있는 보안 위협 등 고객사의 환경에 적합한 교육 서비스를 유연하게 제공합니다.

 

파수 악성메일 훈련 및 교육, 마인드셋 | Fasoo Mind-SAT

 

생성형 AI는 날카로운 양날의 검입니다. 다양한 비즈니스 환경에서 유용하게 이용할 수 있고, 새로운 보안 기술에 적용할 수도 있죠. 하지만 동반하는 보안 리스크도 거대합니다.

 

오늘 말씀드린 생성형 AI 활용 악성메일 공격도 그 중 하나입니다. 기술이 발전할수록 더 정교해지고, 많아질 공격이기도 하죠. 현재까지의 보안 솔루션으로는 이를 완벽하게 막아내긴 어렵습니다.

 

해킹메일, 피싱메일, 혹스메일, 스피어피싱 등 다양한 이름을 가진 악성메일 공격은 사람의 심리를 이용해 속이는 공격입니다. 가장 효과적인 대응은 ‘속아주지 않기’입니다. 보안의식을 제대로 갖춘다면 우리는 악성메일에 속아주지 않을 수 있습니다.

 

보안의식 마인드셋, 파수 Mind-SAT으로 갖출 수 있습니다! 더 많은 정보를 원하신다면 아래 홈페이지를 방문해주세요!

 

파수 임직원 악성메일 훈련 및 교육, 마인드 셋 | Fasoo Mind-SAT