AI로 2분 만에 네이버 판박이 피싱 사이트가 만들어지는 시대

생성형 AI 때문에 피싱 사이트 제작 난이도가 확 내려갔음

• 누리랩 시연에서 클로드에 “네이버와 똑같이 생긴 홈페이지를 만들고, ID password 입력 시 이메일로 보내라”는 식의 80자 미만 명령을 넣었음
• 2분 뒤 네이버 홈페이지와 거의 같은 사이트가 만들어졌고, 로그인창에 ID와 비밀번호를 넣자 정보가 바로 이메일로 전송됐음

문제는 완성도가 예전 피싱 사이트랑 다르다는 점임

• 과거 피싱 사이트는 이미지가 깨지거나, 글자 정렬이 이상하거나, 버튼이 어색해서 티가 나는 경우가 많았음
• AI가 이런 오류를 스스로 보정하면서 전문가도 맨눈으로 구분하기 어려운 수준까지 올라왔다는 게 기사 핵심임

실제 피해 사례도 이미 나오고 있음

• 중고 거래 카페에는 300만 원 넘는 불가리 목걸이를 60만 원에 판다는 글이 올라왔고, 글 안의 ‘네이버페이 안전 결제’ 버튼이 피싱 결제창으로 이어졌음
• 또 한 40대 부동산중개업자는 시중은행 대환대출 신청 페이지를 가장한 피싱 사이트에 속아 6000만 원을 잃었음

악성 페이지 규모도 꽤 심각함

• 누리랩이 지난달 탐지한 피싱 사이트 등 악성 페이지는 85만7870건임
• 하루로 나누면 거의 3만 건 수준이고, 2월 78만 건, 3월 81만 건, 4월 90만 건으로 전반적으로 높은 수준을 유지 중임
• KISA 기준 피싱 사이트 차단 건수도 2024년 1만3324건으로, 2023년 8289건보다 60.7% 증가했음
• 2021년 3841건과 비교하면 약 3.5배임

사후 차단만으로 막기 어려운 구조도 있음

• 사기 조직은 피싱 주소를 퍼뜨릴 때 클라우드플레어 같은 우회 서버를 써서 추적을 어렵게 만듦
• 사이트를 3~4시간만 열어두고 개인정보를 빼낸 뒤 사라지는 방식도 많아서, 신고 후 차단이 들어갈 때쯤이면 이미 늦을 수 있음

개발자 입장에서는 이걸 단순 사용자 부주의 문제로 보면 안 됨

• 로그인·결제·알림 메일을 다루는 서비스라면 도메인 검증, 공식 앱 유도, 의심 링크 신고, 보안 알림 문구를 제품 UX 안에 넣어야 함
• 특히 멤버십 결제, 대출, 중고거래, 간편결제처럼 돈과 계정이 같이 걸린 플로우는 피싱 복제 대상이 되기 쉬움

KISA는 출처가 불분명한 URL을 바로 누르지 말고, 스미싱 확인 서비스 ‘보호나라’에 먼저 입력해보라고 권고했음

• 결국 사용자는 URL을 확인하고, 서비스 운영자는 피싱이 생겼을 때 빨리 탐지·신고·차단할 수 있는 루프를 만들어야 하는 상황임