AI 피싱 3.0: 위협 행위자들이 사회 공학(Social Engineering)을 위해 어떻게 "AI" 브랜딩을 무기화하는가

원래 CoreProse KB-incidents에 게시되었습니다.

2026년 말까지 대부분의 직원은 "AI 코파일럿 (AI copilots)", "스마트 어시스턴트 (smart assistants)", 그리고 "자율 에이전트 (autonomous agents)"를 일상적인 도구로 보게 될 것입니다. 공격자들은 이미 그러한 기대를 악용하고 있습니다.

• 과거의 미끼: "경품에 당첨되었습니다."
• 새로운 미끼: "회사의 새로운 AI 보안 코파일럿에 등록되었습니다—활성화를 위해 클릭하세요."

페이로드(Payloads)는 익숙합니다 (자격 증명 탈취 (credential theft), BEC, 악성코드(malware)); "AI"라는 포장지는 새롭고 매우 효과적입니다. 사회 공학 (Social engineering)은 초기 액세스(initial access) 사고의 36%를 유발하며 침해 사고의 60%에서 나타납니다. 피싱 이메일 (phishing emails)의 82.6%는 AI로 생성되었으며, 이는 2025년까지 ClickFix 스타일의 캠페인이 517% 급증하는 원인이 되고 있습니다. [6]

ML(머신러닝) 및 보안 엔지니어에게 이는 다음을 의미합니다:

• 공격자의 워크플로우(workflows)에서 AI 브랜딩이 어떻게 나타나는지 모델링할 것
• RAG 시스템 및 에이전트와의 교차 지점을 이해할 것
• AI 기능이 사칭하기 어렵고 오용 상황에서도 탄력성을 유지할 수 있도록 텔레메트리(telemetry), 제품 접점(product surfaces), 그리고 거버넌스(governance)를 설계할 것

⚡ 귀하의 AI 마케팅 언어는 이제 공격 표면(attack surface)의 일부입니다—그리고 귀하는 그 사실을 염두에 두고 엔지니어링해야 합니다. [4][10]

1. 왜 "AI"가 새로운 사회 공학 슈퍼 미끼(Super-Lure)인가

사회 공학 (Social engineering)은 이미 지배적인 인간 계층 위협입니다—초기 액세스 사고의 36%, 침해 사고의 60%—그리고 이제 AI는 대규모로 설득력 있는 미끼를 제작하는 데 사용됩니다. [6]

"이상한 이메일"에서 "예상된 AI 도입"으로

기업 커뮤니케이션은 다음과 같은 문구로 가득 차 있습니다:

• "재무를 위한 AI 코파일럿 (AI copilot for finance)"
• "LLM 기반 코드 리뷰어 (LLM-powered code reviewer)"
• "자율 지원 어시스턴트 (Autonomous support assistant)"

공격자들은 이를 모방합니다:

• "보안 준수를 위한 새로운 엔터프라이즈 AI 코파일럿 (Enterprise AI Copilot)의 의무적 활성화."

바쁜 직원들에게 이는 표준적인 내부 배포처럼 느껴집니다. LLM (Large Language Models)은 공격자들이 이러한 구실을 대량 생산하고 A/B 테스트를 할 수 있게 해줍니다. [7]

• 2022년 말부터 2023년 3분기 사이에 피싱 이메일은 1,265% 증가했습니다. 이 중 3분의 2 이상이 BEC (Business Email Compromise)와 관련이 있었으며, 이는 콘텐츠를 개인화하고 공개 데이터를 마이닝하는 생성형 AI (Generative AI)의 능력과 강력하게 연결되어 있습니다. [7]

산업화된 사회 공학 (Social Engineering)

AI는 다음과 같은 방식을 통해 피싱을 "산업화"합니다: [6][7]

• 규모 (Scale) – 무시할 수 있는 비용으로 수천 개의 고유하고 유창한 메시지 생성
• 개인화 (Personalization) – 보도 자료, 채용 공고, LinkedIn 등을 사용하여 실제 이니셔티브를 모방 (예: "APAC 영업을 위한 Copilot")
• 멀티모달리티 (Multimodality) – "AI 어시스턴트" 배포나 보안 점검을 정당화하기 위한 딥페이크 (Deepfake) 음성/영상 활용 [6][7]

최근의 대규모 BEC 및 비싱 (Vishing) 사건들은 이러한 플레이북이 "AI 보안 코파일럿 (AI security copilots)" 또는 "리스크 봇 (risk bots)"을 사칭하는 데 얼마나 쉽게 재용도 변경될 수 있는지를 보여줍니다. [6]

AI 내러티브가 심리학에 작용하는 이유

AI 테마의 미끼는 고전적인 트리거 (Triggers)와 일치합니다: [8][6]

• 호기심 (Curiosity) – "직원 전용 새로운 AI 트레이딩 봇을 사용해 보세요."
• 공포 (Fear) – "IT 부서에서 요구하는 필수적인 AI 기반 보안 재인증이 필요합니다."
• 권위 (Authority) – "리스크 및 법무팀에서 제공하는 공식 AI 컴플라이언스 어시스턴트."

레버(levers)는 오래된 것이지만, AI라는 포장지는 새로우며 사용자의 기대와 일치합니다. [8]

엔지니어가 관심을 가져야 하는 이유

ML (Machine Learning) 및 보안 팀에게 "AI"는 단순한 복사 문구가 아닙니다. 이는 기술적 진입점을 노출합니다:

• LLM 포털 및 RAG (Retrieval-Augmented Generation) UI
• 도구 접근 권한을 가진 자율 에이전트 (Autonomous agents)
• 개발자 머신의 플러그인 및 확장 프로그램

이러한 공격 표면은 일반적인 피싱 교육이 다루지 못하는 도구 하이재킹 (Tool hijacking), 프롬프트 인젝션 (Prompt injection), 그리고 연쇄적인 실패를 유발합니다. [1][4]

2. 위협 분류학 (Threat Taxonomy): 공격자들이 실제 환경에서 AI 브랜딩을 악용하는 방법

작업 정의: AI 브랜딩 미끼 (AI-branded bait):

AI 어시스턴트, 에이전트(agent), 또는 보안/코파일럿(copilot) 기능을 제공한다고 명시적으로 주장하는 구실(pretext)을 가진 모든 미끼. [8][7]

일반적인 AI 브랜딩 구실 (AI-branded pretexts)

관찰된 패턴은 다음과 같습니다: [6][7]

• “새로운 기업용 AI 챗봇으로의 필수 마이그레이션”
  • 포털을 모방한 SSO(Single Sign-On) 스타일의 페이지로 연결되는 링크.
• “보안 AI 기반 MFA(다요소 인증)로 업그레이드”
  • AI 위험 점수 산정(risk scoring)을 주장하며, 자격 증명(credentials) 및 OTP를 탈취.
• “회사의 AI 코드 리뷰어 온보딩”
  • 엔지니어를 대상으로 하며, Git 자격 증명 또는 SSH 키를 탈취.

현재 피싱의 82.6%가 AI로 생성됨에 따라, 공격자들은 개별 단위나 지역별로 이러한 공격을 저렴하게 현지화(localize)합니다. [6]

에이전트 테마 사기 및 로컬 침해

악성 “자율 에이전트(autonomous agents)”가 생산성 도구로 배포됩니다:

• “급여 최적화 에이전트 (Payroll optimization agent)”
• “자율 트레이딩 에이전트 (Autonomous trading agent)”
• “AI 세금 최적화 도구 (AI tax optimizer)”

설치되면 이들은 종종 다음과 같은 동작을 수행합니다: [1][3]

• 임의의 코드 또는 셸(shell) 명령 실행
• 로컬 파일(설정 파일, API 키, 비밀 정보(secrets)) 유출
• 기기 내 LLM(대규모 언어 모델) 통합 및 저장된 자격 증명 악용

에이전트형 AI(Agentic AI) 연구에 따르면, 도구 사용(tool use)과 메모리(memory)가 권한 상승(privilege escalation)부터 연쇄적인 워크플로 실패에 이르기까지 피해를 증폭시키는 방식이 드러났습니다. [1]

RAG 테마 데이터 유출 미끼

가짜 “기업 문서 대상 AI 검색” 또는 “기밀 AI 지식 베이스(knowledge base)” 페이지는 사용자가 “더 나은 답변을 얻기 위해” 내부 파일을 업로드하도록 유도합니다. [2][7]

그 후 공격자는 다음과 같은 행위를 합니다:

• 문서를 자신의 벡터 스토어(vector store)에 인덱싱
• 인덱스를 갈취(extortion) 또는 표적 피싱에 재사용
• 임베딩(embeddings)/원문 콘텐츠를 더 심층적인 캠페인에 활용

공격적 RAG 연구에 따르면, 모델을 민감한 코퍼스(corpora)로 들어가는 프록시(proxy)로 사용함으로써 벡터 스토어를 오염시키거나 데이터 유출(data exfiltration)에 악용할 수 있습니다. [2]

AI 시대의 브랜드 및 SEO 악용

공격자들은 공식 AI 서비스인 것처럼 가장한 가짜 사이트를 빠르게 구축한 다음, 검색/SEO 및 LLM의 환각(hallucination) 현상을 악용하여 사용자를 해당 사이트로 유도합니다. [9][6]

LLM(Large Language Models)은 불확실성보다 확신에 찬 답변을 선호하기 때문에, SEO(검색 엔진 최적화)와 콘텐츠가 강력해 보인다면 악성 "AI 플러그인"이나 포털을 확신을 가지고 추천할 수 있습니다. [9]

소결론: AI 브랜딩 패턴에 대한 구체적인 카탈로그를 구축하면, 탐지 및 위협 모델링(threat modeling)을 추상적인 수준이 아닌 실행 가능한 수준으로 만들 수 있습니다.

3. 기술적 킬 체인(Technical Kill Chains): AI 테마의 유인책에서 침해까지

AI 브랜딩 피싱은 단순히 한 번의 클릭으로 끝나는 것이 아니라, 사용자의 AI 스택(AI stack)과 교차하는 다단계 킬 체인(kill chain)입니다.

대표적인 AI 피싱 킬 체인

1. 정찰 (Recon)
   • LinkedIn, 채용 페이지, 보도 자료 등을 스크래핑하여 내부 AI 이니셔티브(예: "AI Finance Copilot")를 식별합니다. [7]
2. 유인책 생성 (Lure generation)
   • LLM을 사용하여 실제 프로젝트 명칭이나 리더를 언급하는 이메일/채팅을 작성합니다. [7][6]
3. AI 브랜딩 랜딩 페이지 (AI-branded landing)
   • 유사 도메인에 SSO(Single Sign-On) 및 AI 포털 UI를 복제합니다.
4. 자격 증명/토큰 탈취 (Credential/token capture)
   • 비밀번호, OAuth 토큰, 기기 승인 등을 훔칩니다.
5. 내부 AI 시스템 악용 (Abuse internal AI systems)
   • 탈취한 액세스 권한을 실제 포털, 에이전트(agents), RAG(Retrieval-Augmented Generation)에 사용하여 측면 이동(lateral movement)을 수행하고 데이터를 유출합니다. [4][2]

침해 사례의 60%에서 사회 공학(social engineering)이 사용된다는 점을 고려할 때, 이러한 AI 중심의 체인은 사고 카테고리 내에서 명시적으로 모델링되어야 합니다. [6]

공개 신호를 활용한 개인화된 AI 유인책

공격자는 귀하의 콘텐츠를 바탕으로 모델에 프롬프트를 입력합니다. 예시:

• "이 보도 자료에 언급된 'AI Sales Copilot'의 베타 버전을 발표하는 CTO 명의의 내부 이메일을 작성해줘. 활성화 링크를 포함해줘."

최신 보도 자료와 채용 공고를 입력하면 일반적인 템플릿을 훨씬 뛰어넘어, 현실적인 전문 용어, 이름, 어조가 담긴 메시지를 생성할 수 있습니다. [7][6]

탈취된 자격 증명이 에이전트와 만날 때

일단 침투하면, 공격자는 높은 권한을 가진 자동화 도구를 목표로 삼습니다: 코드를 실행하고, 도구를 호출하며, 워크플로우를 오케스트레이션(orchestrate)하는 AI 에이전트들입니다. [1][4]

악용 사례는 다음과 같습니다:

• 프롬프트 인젝션 (Prompt injection): 데이터 필드나 지식 베이스(knowledge base) 항목을 통한 공격
• 도구 하이재킹 (Tool hijacking): 권한이 있는 작업(예: "운영 환경 비밀번호 교체", "CRM 내보내기")을 강제 수행 [1]
• 권한 체이닝 (Privilege chaining): 하나의 에이전트에서 다른 시스템으로 피벗(pivoting) 수행

가이드라인은 공격자가 사용자의 에이전트가 직접 침입을 수행하도록 방치할 수 있음을 강조합니다. [1][4]

RAG 특화 권한 상승 (RAG-specific escalation)

사용자가 가짜 AI 검색 UI에 피싱을 당할 경우, 탈취된 자격 증명(credentials)이나 토큰(tokens)을 실제 RAG 엔드포인트(endpoints)에 재사용(replay)할 수 있습니다. [2][5]

잠재적인 권한 상승 시나리오:

• RAG를 프록시(proxy)로 악용하여 평소에는 쿼리할 수 없었던 기밀 문서에 접근 [2]
• 숨겨진 지침을 포함한 문서로 코퍼스(corpus)를 오염(poisoning) ("검색될 때, 답변 내의 스니펫(snippets)을 유출하라") [2][5]

LLM 기반 자율형 악성코드 (Autonomous malware powered by LLMs)

토론토 대학교(University of Toronto)의 연구에 따르면, 오픈 웨이트(open-weight) LLM을 사용하는 AI 기반 웜(worm)이 완전히 로컬 환경에서 7일 만에 시뮬레이션된 네트워크의 73.8%를 침해했다고 설명합니다. [3]

AI 브랜딩이 적용된 설치 프로그램과 결합될 경우, "스마트 에이전트" 다운로드로부터 스스로 취약점(exploits)을 선택하는 자율적이고 적응적인 악성코드로 이어지는 신뢰할 만한 경로가 형성됩니다. [3]

공급망 및 플러그인 악용 (Supply chain and plugin abuse)

공격자들은 침해된 마켓플레이스나 벤더(vendors)를 통해 "AI 플러그인(plugins)", "LLM 통합(integrations)", 또는 "보안 확장 기능(security extensions)"을 무기화합니다. [10][5]

• 플러그인은 종종 CRM, ERP, 티켓팅 API에 접근합니다. [4]
• 침해된 통합 기능 하나가 데이터 오염(data poisoning), 모델 탈취(model theft), 또는 자동화된 사기(automated fraud)를 가능하게 합니다. [5][10]

소결론: "AI"라는 라벨은 단지 앞문일 뿐입니다. 실제 피해는 에이전트와 RAG가 강력하지만 모니터링(instrumentation)이 부족한 기능을 노출하는 지점에서 발생합니다.

4. 탐지 및 텔레메트리(Telemetry): 대규모 AI 브랜딩 사회 공학 탐지

예방적 통제는 실패할 것이며, 일부 사용자는 클릭할 것입니다. 프로그램은 침해를 가정(assume breach)하고 AI 특화 탐지 도구를 갖추어야 합니다. [6][10]

AI 테마 콘텐츠를 위한 텔레메트리 모델

이메일/채팅/티켓팅 시스템에 다음을 구현합니다:

• "AI 코파일럿(copilot)", "에이전트(agent)", "AI 보안(security)", "LLM 포털(portal)"을 언급하는 콘텐츠를 플래그(flag) 지정 [6]
• 다음 항목과 상관관계 분석:
  • 신규 또는 희귀 도메인
  • URL 단축기 및 리다이렉트(redirects)
  • "AI 설치 프로그램(installers)" 또는 "에이전트 설정(configs)"이라고 주장하는 첨부 파일 [7]

목표: "AI"를 일괄 차단하는 것이 아니라, SOC(Security Operations Center)가 의심스러운 트래픽의 우선순위를 정할 수 있는 관점을 제공하는 것입니다.

ID 중심의 이상 탐지 (Identity-centric anomaly detection)

침해 가정 (Assume breach) 전략을 채택하십시오: AI 브랜딩 콘텐츠와 상호작용이 발생한 후에는 해당 ID(Identity)를 더욱 면밀히 모니터링해야 합니다. [6][10]

주요 신호:

• AI 관련 클릭 직후 발생하는 새로운 지리적 위치(Geos) 또는 기기(Devices)의 등장 [6]
• 이전에 활동이 없던 계정에 의한 고권한(High-privilege) AI 포털의 갑작스러운 사용
• "AI" 인터페이스를 통해 트리거된 보안 설정 변경

ID 중심의 행동 분석(Identity-centric behavior analytics)은 이제 침해 후 탐지(Post-compromise detection)를 위한 권장 백본(Backbone)입니다. [6][10]

보안 데이터로서의 LLM 및 에이전트 활동 로깅 (Logging LLM and agent activity as security data)

LLM/에이전트 로그를 단순한 디버깅용이 아닌 보안 텔레메트리(Security telemetry)로 취급하십시오. [4][1]

수집 항목:

• 프롬프트(Prompts, 비식별화 처리 포함) 및 시스템 메시지
• 도구 호출(Tool calls) + 인자(Arguments)
• 출력 대상(파일, 웹훅(Webhooks), 티켓)

반복적인 민감 정보 접근, 로컬 에이전트로부터의 비정상적인 외부 HTTP 통신, 그리고 프롬프트 인젝션(Prompt-injection) 시그니처를 추적(Hunt)하십시오. [1][4]

데이터 유출을 위한 RAG 도구화 (Instrumenting RAG for exfiltration)

RAG 파이프라인은 다음을 로깅해야 합니다: [2][5]

• 쿼리 텍스트(Query text) 및 임베딩 검색(Embedding searches)
• 검색된 문서 ID 및 민감도
• 응답 길이 및 모든 외부 호출

공격적인 RAG 연구에 따르면, 대량 추출(Bulk extraction)은 넓은 검색 범위와 코퍼스(Corpus)를 "훑는" 반복적인 쿼리 형태로 나타납니다. [2][5]

AI 유인책에 맞서기 위한 AI 활용 (Using AI to defend against AI lures)

보안 벤더와 내부 팀은 이제 머신러닝(ML)을 사용하여 콘텐츠, 엔드포인트(Endpoints), ID 이상 징후와 같은 약한 신호들을 상관 분석함으로써, 단순한 규칙(Rules)만으로 처리하는 것보다 더 빠르게 AI 스타일의 피싱 클러스터를 식별합니다. [1][7]

AI로 생성된 공격의 규모를 고려할 때, 이러한 상관 분석은 미탐(False negatives)을 관리 가능한 수준으로 유지할 수 있는 몇 안 되는 방법 중 하나입니다. [1][7]

모니터링을 구체적인 대응과 연결 (Tying monitoring to concrete response)

AI 특화 플레이북(Playbooks)을 정의하십시오: [4][10]

• 계정을 일시적으로 잠그거나 피싱 방지 재인증(Phishing-resistant re-auth) 요구
• 의심스러운 플러그인 비활성화; 에이전트 도구 범위(Tool scopes) 축소
• AI 진입점(Entry points) 주변의 타겟팅된 위협 헌팅(Threat hunts) 실행

소결론: AI 콘텐츠, 에이전트 로그, RAG 텔레메트리를 일급 보안 신호(First-class security signals)로 격상시키고, 이를 ID 중심의 대응 체계에 연결하십시오.

5. 제품 표면 강화: 설계 단계부터 피싱 저항성을 갖춘 AI 기능 만들기

방어자는 실제 AI 제품을 위조하기 어렵게 만들고, 오용 상황에서도 더 안전하게 보호할 수 있습니다.

공식 AI 브랜딩 표준화

AI 기능에 대한 스타일 가이드(Style guide)를 작성하십시오: [8][6]

• 정식 명칭 (예: 여러 변형 대신 "Acme AI Copilot" 하나로 통일)
• 공식 도메인/서브도메인
• 일관된 UI 단서(UI cues) 및 제품 내 공지 사항

30인 규모의 SaaS 기업 CISO(정보보호최고책임자)의 보고에 따르면, 브랜딩을 하나의 "AI copilot" 이름/도메인으로 고정함으로써 직원들이 브랜드와 일치하지 않는 AI 이메일을 더 일찍 보고하게 되었으며, 테스트 결과 클릭률(Click-through)을 약 40% 감소시켰습니다. [8][6]

AI 포털을 위한 강력한 인증

AI 포털은 집중적인 공격 대상이 되므로, 피싱 저항성 인증(Phishing-resistant auth, 예: FIDO2, 패스키(Passkeys))을 강제하십시오. [6]