피싱 공격

피싱(Phishing)은 '낚시(Fishing)'에서 파생된 용어로, 공격자가 합법적인 실체를 가장하여 피해자를 속이기 위해 미끼를 사용하는 사회공학 공격이다. 공격자는 이메일, 문자 메시지, 전화, 소셜 미디어 등을 통해 신뢰할 수 있는 사람이나 기관으로 위장한 연락을 취한다. 피해자가 링크를 클릭하거나 첨부파일을 열거나 개인정보를 입력하도록 유도하여, 사용자 이름, 비밀번호, 신용카드 번호, 은행 계좌 정보 등을 탈취하거나 악성코드를 설치하게 한다. 피싱은 사이버 보안 사고의 주요 진입 경로 중 하나이며, 최근에는 인공지능을 활용한 정교한 공격이 증가하는 추세이다.

피싱 공격은 대상과 방식에 따라 여러 유형으로 나뉜다.

• 스피어 피싱(Spear Phishing): 특정 개인이나 조직을 표적으로 삼아 맞춤형 메시지를 보내는 공격이다. 공격자는 사전에 수집한 정보를 활용하여 신뢰도를 높인다.
• 웨일링(Whaling): 고위 임원이나 중요한 인물을 대상으로 하는 스피어 피싱의 한 형태이다.
• 클론 피싱(Clone Phishing): 이전에 수신한 정상적인 이메일을 복제하여 악성 링크나 첨부파일로 교체한 뒤 재전송하는 방식이다.
• 스미싱(Smishing): 문자 메시지(SMS)를 이용한 피싱이다. 안랩의 2026년 1분기 보고서에 따르면 금융기관 사칭이 가장 흔한 유형으로 전체의 53.62%를 차지했다.
• 보이스 피싱(Vishing): 전화를 이용한 피싱으로, 공격자가 은행이나 관공서 직원을 사칭하여 정보를 요구한다.
• 대출 사기: 대출을 미끼로 개인정보를 요구하는 방식으로, 2026년 1분기에는 직전 분기 대비 205.15% 증가했다.
• 정부·공공기관 사칭: 세금 환급, 벌금 납부 등을 빙자한 공격이다.
• 택배 사칭: 배송 문제를 가장한 문자나 이메일을 보내는 방식이다.
• 청첩장·부고 위장: 사회적 관계를 악용한 공격이다.

피싱 공격은 다양한 기술적 수단을 통해 이루어진다.

• 이메일 피싱: 가장 전통적인 방식으로, 위조된 발신자 주소와 유사한 도메인을 사용한다. ASEC의 2026년 2월 보고서에 따르면 피싱 이메일 첨부파일 중 가장 많은 위협 유형은 피싱(42%)으로, HTML 스크립트로 로그인 페이지를 모방하거나 PDF에 하이퍼링크를 삽입하는 방식이 사용된다.
• 문자 메시지(SMS) 피싱: 짧은 문자에 악성 링크를 포함하여 전송한다. 안랩의 2026년 1분기 분석 결과, 금융기관 사칭이 53.62%로 가장 많았고, 대출 사기(18.72%), 정부·공공기관 사칭(8.49%) 순이었다.
• 소셜 미디어 피싱: 페이스북, 인스타그램, 텔레그램 등에서 친구나 지인을 사칭하여 메시지를 보낸다. 텔레그램 사칭은 7.95%를 차지했다.
• 전화 피싱(Vishing): 자동 응답 시스템이나 실제 사람이 직접 전화하여 정보를 요구한다.
• 악성코드 유포: 첨부파일(스크립트, 문서, 압축 파일 등)을 통해 멀웨어나 랜섬웨어를 설치하도록 유도한다.

최근에는 인공지능(AI) 기술이 피싱 공격에 활용되어, AI가 생성한 텍스트, 음성, 영상으로 더욱 정교한 사칭이 가능해졌다. 체크 포인트의 연구에 따르면 AI 기반 사회공학 기법이 전통적인 오타나 형식 오류를 제거하여 탐지가 어려워지고 있다.

피싱 공격은 전 세계적으로 지속적인 피해를 발생시키고 있다.

• 2026년 1분기 안랩 보고서: 금융기관 사칭이 53.62%로 1위, 대출 사기 18.72%, 정부·공공기관 사칭 8.49%, 텔레그램 사칭 7.95%, 구인 사기 5.69%, 택배사 사칭 2.74% 순이었다. 금융기관 사칭과 대출 사기는 직전 분기 대비 각각 9.38%, 205.15% 증가했다.
• 2026년 2월 ASEC 보고서: 피싱 이메일 첨부파일 중 피싱 유형이 42%로 가장 높은 비중을 차지했으며, 스크립트, 문서, 압축 파일 등 다양한 포맷이 사용되었다. 한글로 유포된 피싱 이메일 사례도 다수 발견되었다.
• Verizon 데이터 침해 조사 보고서(2020): 피싱은 데이터 침해의 주요 원인 중 하나로 지목되었다.

피싱 공격은 개인뿐만 아니라 기업, 정부 기관, 금융 기관 등 다양한 조직을 대상으로 하며, 금전적 손실과 데이터 유출로 이어진다.

피싱 공격에 대응하기 위해서는 기술적 대책과 사용자 교육이 함께 이루어져야 한다.

• 사용자 교육: 의심스러운 이메일이나 문자의 링크를 클릭하지 않고, 발신자를 확인하는 습관이 중요하다. 긴급한 요구나 개인정보 요청에 주의해야 한다.
• 기술적 대책:
• 이메일 필터링 및 보안 게이트웨이를 통해 피싱 메일을 차단한다.
• 다중 인증(MFA)을 도입하여 자격증명 탈취 피해를 최소화한다.
• AI 기반 탐지 시스템을 활용하여 이상 징후를 실시간으로 분석한다. 안랩은 에이전틱 AI 보안 플랫폼 '안랩 AI 플러스'를 통해 피싱 문자를 탐지·분석하고 있다.
• 최신 보안 패치를 적용하고, 악성코드 차단 소프트웨어를 사용한다.
• 조직 차원: 정기적인 보안 교육과 모의 피싱 훈련을 실시하여 직원의 경계심을 높인다.
• 신고: 피싱을 발견하면 해당 기관이나 사이버 보안 당국에 신고한다.

포티넷과 트렌드 마이크로는 피싱 방지를 위해 사용자가 링크를 클릭하기 전에 URL을 확인하고, 개인정보를 요구하는 이메일에 응답하지 말 것을 권고한다.

피싱 공격은 기술 발전과 함께 진화하고 있다.

• AI 기반 피싱: 생성형 AI를 이용해 문법적으로 완벽하고 개인화된 피싱 메시지를 대량 생산할 수 있다. 딥페이크 기술로 음성이나 영상까지 위조하여 보이스 피싱의 정교함이 높아졌다.
• 소셜 엔지니어링: 인간의 심리적 취약점을 이용하는 방식으로, 피싱은 그 대표적인 예이다. 공격자는 신뢰, 호기심, 두려움 등을 자극한다.
• 에이전틱 AI 보안: 안랩의 '안랩 AI 플러스'와 같은 에이전틱 AI 플랫폼은 피싱 문자를 자동으로 탐지·분석하여 대응 속도를 높인다.
• 이메일 보안 기술: 체크 포인트, 포티넷 등은 이메일 보안 솔루션을 통해 피싱 메일을 필터링하고, 위협 인텔리전스를 제공한다.