진화하는 해킹 범죄
악성코드 설치 통해 전파
인공지능(AI)의 발달로 피싱(Phishing) 사기가 갈수록 정교해지면서 미국인들이 하루 평균 14건의 사기성 문자나 이메일을 받고 있는 것으로 나타났다.
22일 언론들에 따르면, 피싱은 은행, 정부기관, 택배회사 등 신뢰할 수 있는 기관을 사칭해 개인정보를 빼내는 대표적인 사이버 범죄다.
연방수사국(FBI)의 2026 인터넷 범죄 보고서에 따르면 피싱은 현재 미국인이 가장 많이 직면하는 사이버 위협으로 꼽힌다. 특히 올해 1분기 동안 마이크로소프트 위협정보 부서는 약 83억건의 이메일 기반 피싱 공격을 탐지했다.
최근에는 문자메시지를 이용한 피싱인 ‘스미싱’이 가장 흔한 공격 수단으로 떠올랐다. 사이버 보안 보고서에 따르면 지난해 발생한 전체 사이버 사기 가운데 약 30%가 문자메시지를 통한 스미싱이었다.
사기범들은 이메일과 문자뿐 아니라 사회관계망서비스(SNS), 메신저, 온라인 광고, QR코드, 가짜 웹사이트까지 활용하며 공격 범위를 넓히고 있다.
디지털 보안업체 말웨어바이트의 소비자사업부 총괄 마크 비어는 “2010년대 통하던 피싱 수법과 현재의 공격은 완전히 다르다”며 “훨씬 더 정교하고 전문화됐다”고 설명했다.
과거에는 문법 오류나 오타가 피싱 이메일을 구별하는 단서였지만, AI 등장 이후 상황이 달라졌다. 사기범들은 생성형 AI를 이용해 실제 기업이 보낸 것처럼 보이는 완벽한 이메일과 문자메시지를 제작하고 있다.
전문가들은 이제 “오타를 찾으라”는 기존 조언이 더 이상 통하지 않는다고 경고한다.
최근 증가하는 수법 중 하나는 온라인 초대장 서비스를 사칭한 가짜 초대장이다. 사기범들은 파티나 행사 초대장을 가장해 링크 클릭을 유도한다. 링크를 누르면 악성코드가 설치되거나 가짜 웹사이트로 연결돼 이메일 비밀번호를 입력하도록 유도한다. 전문가들은 발신자 이메일 주소가 공식 도메인인지 확인하고, 링크의 실제 주소를 확인하며, 이메일 비밀번호 입력이나 첨부파일 다운로드를 요구할 경우 즉시 중단해야 한다고 조언한다.
또 다른 신종 사기는 사람 여부를 확인하는 보안 인증 절차인 ‘캡차’(CAPTCHA)를 악용하는 방식이다.
정상적인 캡차는 화면에 표시된 신호등이나 자동차를 선택하거나 왜곡된 문자와 숫자를 입력하도록 요구하지만, 가짜 캡차는 사용자가 윈도우 실행창(Win+R)을 열고 특정 명령어를 입력하도록 유도한다. 이 명령어를 실행하면 악성코드가 설치돼 컴퓨터가 해킹될 수 있다. 보안 전문가들은 정상적인 캡차는 절대 프로그램 설치나 실행을 요구하지 않는다고 강조했다.
비영리 단체 신원도용자원센터의 에바 벨라스케즈 대표는 “사이버 사기는 계속 진화하는 위협”이라며 “무조건 믿기보다 먼저 의심하고 확인하는 습관이 필요하다”고 말했다.
전문가들은 출처가 불분명한 문자나 이메일을 받았을 경우 링크를 클릭하거나 파일을 내려받기 전에 반드시 사실 여부를 확인할 것을 권고하고 있다.
