주간 보안 리포트 #3 — 오타로 피싱을 잡던 시대의 끝
한 세대 동안 가장 믿을 만한 피싱 신호는 서툰 글이었습니다. 어색한 문법, 철자 오류, 부자연스러운 표현. 사람들에게 그 어색함을 알아채도록 훈련시키면 공격의 상당수를 잡을 수 있었습니다.
그 신호는 사라졌습니다. 이번 주가 그것을 다시 분명히 보여줬습니다.
이번 주
우리가 살펴본 자격증명 피싱과 사칭 샘플은 거의 예외 없이 유창했습니다. 깔끔한 문법, 정확한 어조. 수신자의 언어로 제대로 현지화되어 있었고, 원어민 동료가 쓴 것처럼 읽히는 한국어도 있었습니다. 사칭 대상 브랜드의 특유한 문체까지 맞춘 경우도 여럿이었습니다.
생성형 AI가 한 일입니다. 어떤 언어로든 흠 없고 개인화된 미끼를 만드는 일이 이제 사소하고 공짜가 됐습니다. 우리가 20년간 사용자에게 가르친 "오타를 찾아라"라는 조언은 조용히 수명을 다했습니다.
집중 분석: 표면이 완벽할 때
문법, 어조, 서식이 더는 증거가 아니라면, 무엇이 남을까요?
의도가 남습니다. 공격자는 문장을 끝없이 다듬을 수 있지만, 그 메일이 당신에게 시켜야 하는 일은 바꿀 수 없습니다. 그리고 그 목적은 본질적으로 의심스럽습니다.
- 자신이 통제하는 페이지에 자격증명을 입력하게 만들기,
- 자신이 소유한 계좌로 돈을 옮기게 만들기,
- 보안 단계(MFA, 인증)를 우회하거나 "재확인"하게 만들기,
- 누군가에게 확인하기 전에, 지금 당장 행동하게 만들기.
유창함은 이음매를 가립니다. 하지만 요구 자체는 바꾸지 못합니다. 완벽하게 쓰인 메일이라도 링크에서 급히 비밀번호를 다시 입력하라고 요구한다면, 그것은 서툰 메일과 정확히 같은 만큼 위험합니다. 오히려 더 위험합니다. 더 이상 당신의 직감을 건드리지 않으니까요.
무엇을 할 수 있나
- 이메일을 문장 솜씨로 채점하는 것을 멈추세요. 다듬어진 표면은 더 이상 신호가 아닙니다. 무엇을 요구하는지, 그 요구가 관계에 비추어 말이 되는지를 판단하세요.
- 사용자 교육을 표면 품질이 아니라 의도와 행동에 다시 맞추세요. "이 메일은 자격증명, 결제, 또는 보안 단계 우회를 원하는가?"가 "전문적으로 보이는가?"보다 훨씬 멀리 갑니다.
- 문장이 아무리 정당해 보여도, 행동 자체를 신뢰할 수 있는 채널로 검증하세요.
이것이 SA-04(의도)가 메일이 어떻게 쓰였는지가 아니라 무엇을 이루려 하는지를 추론하는 이유입니다. 표면이 더 이상 증거가 아닐 때 읽을 수 있는 것은 의도뿐이고, WhiteHat는 그것을 모든 메일에서 읽습니다.
다듬어진 문장에 속고 있는 건 아닌지 궁금하다면, 깔끔해 보이는 메일을 분석 콘솔에 붙여넣고 SA-04가 그 의도를 어떻게 보는지 확인해 보세요.