WebPiki
it

피싱 공격 예방법: 2026년 최신 수법과 대응 방법

진화하는 피싱 공격의 유형, AI를 이용한 새로운 수법, 개인과 기업이 취할 수 있는 대응책을 정리했다.

피싱은 기술적으로 어려운 공격이 아니다. 사람을 속이는 거다. 시스템의 취약점이 아니라 사람의 심리를 노린다. 그래서 방화벽을 아무리 두껍게 쌓아도 피싱 메일 하나에 뚫린다. 2025년 기준 사이버 공격의 90% 이상이 피싱에서 시작됐다는 통계도 있다.

그런데 2026년 들어서 피싱의 양상이 좀 달라졌다. AI가 가세하면서 수법이 정교해졌다. 예전처럼 맞춤법 틀린 이메일을 보내는 수준이 아니다.

피싱의 주요 유형

이메일 피싱

가장 고전적이면서도 여전히 효과적인 방식이다. "계정이 정지되었습니다", "결제에 문제가 발생했습니다" 같은 메일로 가짜 사이트에 로그인하게 만든다.

대량으로 뿌리는 방식이라 정교하지 않은 경우가 많다. 보내는 주소가 service@paypa1.com(L이 아니라 숫자 1)이라거나, 링크를 마우스 오버하면 전혀 다른 도메인이 보이거나. 하지만 이런 기본적인 것도 급하게 확인하면 놓치기 쉽다.

스미싱 (SMS 피싱)

문자로 오는 피싱. "택배 배송 조회", "교통 범칙금 납부", "정부 지원금 신청" 같은 문자에 링크가 붙어있다. 한국에서 특히 기승이다. 택배를 기다리고 있을 때 타이밍 맞게 오면 무심코 누를 수 있다.

2025년부터 RCS(Rich Communication Services) 기반 스미싱도 늘었다. 일반 문자와 달리 이미지, 브랜드 로고가 포함되어 훨씬 공식적으로 보인다.

비싱 (Voice 피싱)

전화 피싱. 검찰, 금감원, 은행을 사칭하는 전화. 한국에서 피해 규모가 어마어마하다. 최근에는 단순히 "돈을 보내라"가 아니라, 원격 제어 앱을 설치하게 해서 폰 자체를 장악하는 방식도 쓰인다.

스피어 피싱

특정 인물이나 조직을 타깃으로 맞춤형 공격을 하는 거다. 대상의 SNS, 회사 정보, 업무 패턴을 미리 조사해서 그 사람이 의심하지 않을 만한 메일을 보낸다. CEO 사칭 메일("지금 급하게 이 계좌로 송금 부탁해요")이 대표적이다. BEC(Business Email Compromise)라고도 부른다.

일반 피싱이 그물 던지기라면, 스피어 피싱은 작살 낚시다. 성공률이 높고 피해 금액도 크다.

AI가 바꿔놓은 피싱

AI가 쓴 피싱 메일

예전 피싱 메일은 어색한 번역체나 문법 오류가 단서였다. LLM이 이걸 바꿨다. 공격자가 ChatGPT 같은 도구로 완벽한 문법, 자연스러운 톤, 타깃 조직의 문체까지 모방한 이메일을 생성할 수 있게 됐다.

영어권에서 활동하던 비영어권 공격 그룹이 이제 네이티브 수준의 영어 피싱 메일을 보낸다. 한국어 피싱도 마찬가지. 어색한 한국어로 온 피싱 메일은 쉽게 걸러졌는데, 이제 그 필터가 안 통한다.

딥페이크 음성

AI로 특정인의 목소리를 합성하는 기술이 상당히 성숙했다. 몇 초 분량의 음성 샘플만 있으면 꽤 그럴듯한 복제가 가능하다. 유튜브 인터뷰, 컨퍼런스 발표 영상 등에서 음성 샘플을 확보할 수 있으니, CEO나 임원의 목소리를 합성해서 전화하는 사례가 나오고 있다.

2024년에 홍콩의 한 기업에서 딥페이크 영상 통화로 2,500만 달러를 탈취당한 사건이 있었다. 화상 회의에 참석한 CFO와 동료들이 전부 딥페이크였다. 극단적인 사례이긴 하지만, 방향성을 보여준다.

AI 피싱 챗봇

피싱 사이트에 AI 챗봇을 달아서 사용자와 실시간으로 대화하는 방식도 등장했다. "고객센터"를 사칭하면서 자연스럽게 개인정보를 빼낸다. 전통적인 정적 피싱 페이지보다 신뢰도가 높다.

피싱을 구분하는 방법

100% 완벽한 방법은 없다. 하지만 대부분의 피싱은 아래 체크만으로도 걸러진다.

URL을 확인하라

링크를 클릭하기 전에 실제 URL을 확인한다. 모바일에서는 링크를 길게 눌러서 미리보기를 확인할 수 있다.

주의할 패턴들:

  • paypal-secure.com — paypal.com이 아니다
  • google.com.attacker.com — 실제 도메인은 attacker.com이다
  • naver.com 대신 naver.corn — r+n이 m처럼 보이는 글꼴이 있다
  • https://라고 안심하면 안 된다. Let's Encrypt 덕분에 피싱 사이트도 HTTPS를 쓴다

발신자를 확인하라

이메일 발신자의 표시 이름이 아니라 실제 이메일 주소를 확인한다. "네이버 고객센터"로 표시되어 있어도 실제 주소가 support@naver-notice.xyz일 수 있다. 메일 클라이언트에서 발신자를 클릭하면 실제 주소가 보인다.

긴급함을 의심하라

"24시간 내에 조치하지 않으면 계정이 삭제됩니다", "지금 즉시 확인하세요" — 피싱의 핵심 전략은 급박함을 만들어서 판단력을 흐리는 거다. 정상적인 서비스에서 이런 식으로 협박하는 경우는 드물다. 급하다고 느끼면 일단 멈추고 공식 사이트에 직접 접속해서 확인하자.

첨부 파일에 주의하라

.exe, .scr 같은 실행 파일은 당연하고, .docm, .xlsm(매크로 포함 문서)도 위험하다. 알 수 없는 발신자의 첨부 파일은 열지 않는 게 원칙이다. PDF도 안전하지 않을 수 있다 — JavaScript가 포함된 악성 PDF가 존재한다.

기술적 보호 수단

SPF, DKIM, DMARC

이메일 인증 프로토콜 삼총사다. 주로 조직의 메일 서버 관리자가 설정하는 것이지만, 개념을 알아두면 피싱 판별에 도움된다.

SPF(Sender Policy Framework) — "이 도메인에서 메일을 보낼 수 있는 서버는 이것들이다"라고 DNS에 명시한다. SPF에 등록되지 않은 서버에서 보낸 메일은 위조된 거다.

DKIM(DomainKeys Identified Mail) — 메일에 디지털 서명을 넣는다. 수신 서버가 서명을 검증해서 메일이 변조되지 않았음을 확인한다.

DMARC(Domain-based Message Authentication, Reporting and Conformance) — SPF와 DKIM을 묶어서 정책을 정한다. 인증에 실패한 메일을 어떻게 처리할지(무시, 스팸 처리, 차단)를 지정한다.

이 세 가지가 제대로 설정된 도메인에서 온 메일은 발신자 위조가 거의 불가능하다. 반대로 이 설정이 안 된 도메인은 누구든 그 도메인을 사칭해서 메일을 보낼 수 있다.

MFA (다중 인증)

비밀번호만으로는 부족하다. 피싱으로 비밀번호가 유출되더라도 MFA가 걸려 있으면 추가 인증 없이 로그인할 수 없다. 특히 FIDO2 보안 키는 피싱에 아예 면역이다 — 보안 키가 접속한 사이트의 도메인을 확인하기 때문에 가짜 사이트에서는 인증이 작동하지 않는다.

다만 실시간 피싱 프록시(EvilGinx 같은 도구)는 TOTP 코드까지 중계할 수 있다. 사용자가 피싱 사이트에 비밀번호와 OTP를 입력하면, 공격자가 실시간으로 진짜 사이트에 대신 입력하는 방식이다. 이건 FIDO2 키가 아니면 막기 어렵다.

이메일 필터링

기업이라면 이메일 보안 솔루션이 필수다. 스팸 필터를 넘어서 URL 검사, 첨부 파일 샌드박싱, 발신자 평판 분석 등을 수행하는 전문 솔루션들이 있다. Microsoft Defender for Office 365, Proofpoint, Mimecast 같은 제품.

개인 사용자는 Gmail이나 Outlook의 내장 필터에 의존하게 되는데, 이것만으로도 대부분의 대량 피싱은 걸러진다. 문제는 타깃 피싱이다.

피싱에 속았다면

당황하지 말고 빠르게 대응하면 피해를 줄일 수 있다.

비밀번호를 입력했다면 — 해당 서비스의 비밀번호를 즉시 변경한다. 같은 비밀번호를 다른 곳에도 쓰고 있다면 거기도 전부 바꾼다. 그다음 해당 서비스의 로그인 기록(활성 세션)을 확인해서 모르는 기기의 세션을 전부 로그아웃시킨다.

금융 정보를 입력했다면 — 카드사에 즉시 연락해서 카드를 정지시킨다. 은행 계좌 정보를 줬다면 은행에 연락. 피해가 발생했다면 경찰 사이버수사대에 신고한다.

악성 파일을 열었다면 — 네트워크 연결을 끊는다. 안티바이러스 전체 검사를 돌린다. 기업 환경이라면 보안 팀에 즉시 알린다. 랜섬웨어일 수 있으니 시간이 중요하다.

개인정보를 줬다면 — 주민등록번호가 노출됐다면 개인정보 노출자 사고 예방 시스템(pd.fss.or.kr)에 등록한다. 통신사에 연락해서 명의 도용 방지 서비스를 신청한다.

조직 차원의 대응

개인이 조심하는 것만으로는 한계가 있다. 조직에서는 시스템적으로 대응해야 한다.

보안 인식 교육 — 정기적으로 피싱 시뮬레이션을 돌려서 직원들의 인식 수준을 측정하고 교육한다. KnowBe4, Cofense 같은 플랫폼이 이걸 자동화해준다. 한 번 교육한다고 끝이 아니다. 반복이 핵심이다.

메일 보안 정책 — 외부 메일에 "[외부]" 태그를 붙이는 것만으로도 효과가 있다. 내부 메일처럼 위장한 피싱을 구분하기 쉬워진다. SPF/DKIM/DMARC 설정은 기본이다.

제로 트러스트 접근 — 네트워크 내부라고 해서 신뢰하지 않는다. 피싱으로 한 명의 계정이 뚫려도 피해가 확산되지 않도록 최소 권한 원칙을 적용하고, 마이크로 세그멘테이션으로 네트워크를 분리한다.

신고 체계 구축 — 직원이 의심스러운 메일을 쉽게 신고할 수 있는 체계가 필요하다. 보안 팀에 보고했다고 혼내면 아무도 보고하지 않게 된다. 신고 문화를 장려하는 게 중요하다.

피싱은 기술이 아니라 심리전이다

기술적 방어도 중요하지만, 피싱의 본질은 사회공학이다. "긴급합니다", "큰일났습니다", "지금 아니면 안 됩니다" — 감정을 자극해서 판단력을 떨어뜨린다. AI가 그 속임의 수준을 한 단계 끌어올리고 있다.

결국 가장 강력한 방어는 습관이다. 링크를 클릭하기 전에 한 번 더 확인하는 습관. 급하다고 느낄 때 일단 멈추는 습관. 공식 사이트에 직접 접속해서 확인하는 습관. 이런 작은 습관들이 쌓이면 대부분의 피싱은 통하지 않는다.

그리고 MFA를 설정하자. 가능하면 FIDO2 보안 키로. 비밀번호가 유출되는 걸 완벽하게 막을 수는 없지만, 유출된 비밀번호가 쓸모없게 만들 수는 있다.

#피싱#보안#소셜엔지니어링#이메일보안#사이버보안

관련 글

it제로 트러스트 보안이란? 기업이 알아야 할 핵심 개념it해시 알고리즘이란? SHA-256부터 비밀번호 저장까지itHTTPS와 SSL/TLS 인증서 쉽게 이해하기