AI 도구로 더욱 정교해짐

최근 베트남 사이버 비상 대응 센터(VNCERT/CC), 정보통신부 정보보안국은 전 세계적으로 AI와 사칭 기술을 이용해 사용자의 Gmail 로그인 정보를 훔치는 정교한 피싱 캠페인에 대한 경고를 발표했습니다.

이 새로운 형태의 피싱은 인공지능 기술(AI)을 사용하여 Google 이메일과 전화번호를 스푸핑하는 방식으로, AI가 사실적인 메시지와 통화를 만들어 사용자를 속여 민감한 정보를 제공하도록 합니다.

다이도안켓 신문 기자들과의 대화에서 사이버 보안 전문가 응오 민 히에우(국가 사이버 보안 모니터링 센터)는 이 사기 캠페인이 기존 사기 수법과 새로운 기술을 결합하여 운영된다고 분석했습니다.

구체적으로, 피험자들은 AI를 사용하여 Google 이메일과 전화번호를 위조했습니다. 사기꾼은 Google의 공식 알림과 매우 유사한 이메일과 전화번호를 만들어서 사용자가 차이점을 알아차리기 어렵게 만들었습니다.

AI를 사용하여 자동화된 콘텐츠 생성: AI는 사용자를 속여 로그인 자격 증명을 제공하도록 설계된 콘텐츠가 포함된 이메일, 메시지 또는 통화를 생성하는 데 사용됩니다. 이러한 메시지는 종종 매우 설득력이 있으며 보안 경고, 계정 확인 요청, 정보 업데이트를 알리는 알림과 같은 속임수를 사용합니다.

딥페이크 음성: 새로운 기능 중 하나는 AI가 Google 지원 직원의 목소리와 똑같은 목소리로 가짜 통화를 생성할 수 있다는 것입니다. 이렇게 하면 공격의 신뢰성이 높아지고, 사용자를 속이는 것이 더 쉬워집니다.

사이버 보안 전문가인 Ngo Minh Hieu에 따르면, 이 새로운 피싱 캠페인은 다음을 포함한 Gmail 로그인 정보를 수집하는 것을 목표로 합니다.

계정 정보: Gmail, Google Drive 문서 및 Google과 관련된 다양한 다른 서비스에 액세스하는 데 사용할 수 있습니다.

민감한 데이터: 개인 이메일에는 은행 계좌, 비밀번호, 재무 문서와 같은 중요한 정보가 포함될 수 있습니다.

Gmail 사용자 인증 정보가 도용되면 계정에 액세스할 수 없게 됩니다. 계정이 잠기고 이메일, 문서 또는 기타 중요한 정보에 액세스할 수 없게 될 수 있습니다.

개인 정보 유출: 금융 정보, 연락처 정보, 기밀 문서 등 이메일에 포함된 민감한 데이터는 사기나 기타 공격을 저지르는 데 악용될 수 있습니다.

체인 공격: Gmail 계정은 은행 계좌, 소셜 네트워킹 서비스, 모바일 앱 등 다양한 서비스에 연결되어 있는 경우가 많습니다. Gmail이 손상되면 여러 플랫폼에 걸쳐 다른 공격이 발생할 수 있습니다.

Gmail을 사용할 때 주의하세요

히에우 씨는 사람들이 이메일이나 전화를 통해 민감한 정보를 제공하지 말 것을 권고합니다. Google은 사용자에게 이메일이나 전화를 통해 로그인 정보를 제공하도록 요청하지 않습니다. 정보에 대한 요청을 받으면 출처를 주의 깊게 확인하세요.

2단계 인증(2FA)을 활성화하세요. 2단계 인증은 계정을 공격으로부터 보호하는 데 도움이 되는 보안을 강화하는 수단입니다. 공격자가 사용자의 비밀번호를 알아냈더라도, 사용자의 계정에 접근하려면 두 번째 인증 코드가 필요합니다.

이메일과 메시지를 다시 한번 확인하세요. 사기 이메일에는 철자 오류, 비공식적인 링크, 긴급 조치 요청 등 작은 징후가 있는 경우가 많습니다. 사용자는 링크를 클릭하기 전에 주의 깊게 확인해야 합니다.

고급 보안 도구를 사용하세요. 피싱 공격을 감지하는 데 도움이 되는 보안 소프트웨어와 브라우저 애드온을 설치하세요. 동시에, 계정을 가장 효과적으로 보호하기 위해 보안 시스템을 정기적으로 업데이트하세요.

전문가는 "알 수 없는 출처의 링크에 접속하거나 파일을 다운로드하지 마십시오. 이러한 링크에는 악성 코드가 포함되어 있어 사용자 기기가 손상될 수 있습니다."라고 강조했습니다.