마이크로소프트(Microsoft)의 ‘2025 디지털 방어 보고서(Digital Defense Report)’가 AI 기반 피싱 공격의 위협이 급격히 심화되고 있다고 경고했다. 보고서에 따르면 AI가 자동 생성한 피싱 이메일의 클릭률은 54%로, 기존 방식의 12%와 비교해 4.5배 높았다. AI 자동화가 공격당 수익성을 최대 50배까지 끌어올릴 수 있다는 분석도 담겼다.
AI가 피싱 생태계를 바꾸는 방식은 공격 전 과정에 걸쳐 있다. 정찰 단계에서는 AI가 소셜미디어, 기업 홈페이지, 공개 데이터베이스 등을 자동 분석해 공격 대상의 직책, 커뮤니케이션 스타일, 최근 활동을 빠르게 수집하고 표적 프로파일을 만든다. 이전에는 전문 공격자가 수주에 걸쳐 수동으로 수행하던 작업이 자동화된 것이다. 콘텐츠 생성 단계에서는 LLM(대규모 언어 모델)이 피해자의 문체를 모방한 맞춤 이메일을 쓰고, 음성 복제와 영상 합성 기술이 경영진 목소리나 얼굴을 사실적으로 재현한 딥페이크 공격까지 가능하게 한다. 전달 단계에서도 AI가 채널 선택, 발송 시점, 스팸 필터 우회를 실시간으로 최적화한다.
이 같은 위협에 대응하기 위한 핵심 전략으로 보고서는 ‘공격자가 사용하는 과정과 동일한 구조로 방어를 설계해야 한다’고 제안했다. 구체적으로는 조직 내 공개 정보 노출 최소화로 정찰을 어렵게 하고, 다중 인증(MFA) 강화와 이메일 인증 기술 적용으로 가짜 콘텐츠가 수신함에 도달하는 것을 막아야 한다. 직원 교육은 이제 단순한 피싱 메일 식별을 넘어, 자연스럽고 논리적인 대화 자체가 위조될 수 있다는 인식을 심는 방향으로 전환해야 한다고 강조했다. 또한 민감한 정보 요청이나 금전 이체 등 중요한 행동은 익숙한 채널을 통해 반드시 재확인하는 절차를 조직 문화로 정착시켜야 한다고 밝혔다.
보고서는 AI 기반 피싱 대응이 기술적 과제이기 이전에 조직적·인적 과제라는 점을 결론으로 제시했다. 정교한 탐지 시스템을 갖추는 것만으로는 부족하며, 검증 습관과 정보 노출 관리를 일상화해 공격자의 모든 단계를 더 어렵고 비용이 많이 들게 만드는 것이 실질적 방어력의 핵심이라고 강조했다.
