침해를 경험하셨나요?
|
지원
|
당사에 연락하기
|
+1 855 426 3983
블로그
/
세분화

15분 만에 딥페이크 당했습니다. AI 기반 소셜 엔지니어링의 모습은 다음과 같습니다.

라구 난다쿠마라
산업 전략 담당 부사장
Illumio Editorial
5월 14, 2026
23 분 읽기

저는 사이버 보안 분야에서 일하고 있습니다. 저는 사회 공학, AI를 이용한 공격, 신원 기반 위협에 대해 이야기하는 일을 직업으로 삼고 있습니다. 공격자의 플레이북을 알고 있습니다.  

그래서 최근 웨비나에서 DEFCON 소셜 엔지니어링 대회 3회 우승자이자 소셜 프루프 시큐리티의 CEO인 레이첼 토박이 저에게 라이브 공격을 시연하겠다고 제안했을 때, 저는 무슨 일이 일어날지 대략 짐작할 수 있었습니다.

제가 많이 틀렸습니다.

레이첼은 15분 만에 완전한 공격 서류, 웃음을 자아낼 정도로 사적인 스피어 피싱 구실, 복제된 제 목소리, 동료에게 비밀번호를 묻는 제 얼굴을 담은 딥페이크 동영상을 만들었습니다. 그녀가 사용한 것은 공개적으로 사용 가능한 데이터를 가져오는 기성 AI 도구뿐이었습니다.

이것이 2026년의 위협 환경입니다. 즉, 모든 보안팀이 고민해야 할 질문은 더 이상 모든 공격자의 침입을 막는 방법이 아니라 누군가 클릭해도 피해가 발생하지 않도록 하는 방법입니다.

공격 구실을 만드는 데 15분이면 충분했습니다.

레이첼은 제 연락처 정보를 찾는 기본적인 작업부터 시작했습니다.  

그녀는 Rocket Reach 및 ContactOut과 같은 데이터 브로커 사이트를 사용하여 몇 초 만에 제 이메일 주소와 전화번호를 가져왔습니다. 그런 다음 페이스북, 이베이, 트위터에서 비밀번호 재설정 플로우를 악용하여 이들이 활동 중임을 확인했습니다.  

이는 해킹이 필요 없는 표준 공격 방법론이었습니다. 그 부분만 해도 몇 분이 걸렸습니다.

거기에서 그녀는 이러한 연락처 정보를 Dehashed라는 침해 데이터 저장소에 연결했습니다. 그녀는 8건의 데이터 유출 사건에서 저를 찾아냈고, 그 중에는 데이트 정보도 포함되어 있었습니다:

  • 세 개의 전화번호
  • 세 개의 물리적 주소
  • 두 개의 이메일 주소
  • 하나의 사용자 이름
  • 내 생년월일
  • 일반 텍스트 비밀번호  

엄밀히 말해 웹에 해당 정보가 있는 것은 제 잘못이 아닙니다. 내 데이터를 믿고 맡긴 조직에서 유출 사고가 발생했습니다. 하지만 공격자는 누구의 잘못인지는 신경 쓰지 않습니다.

그런 다음 제가 클릭하거나 전화를 걸거나 자격 증명을 넘겨주도록 유도하기 위해 사용할 시나리오인 구실이 나왔습니다.  

그녀는 제 공개 소셜 미디어를 통해 제가 열렬한 크리켓 팬이자 ' 더 그레이드 크리켓'이라는 코미디 팟캐스트의 열렬한 청취자라는 사실을 알게 되었습니다. 그녀는 두 명의 호스트인 샘 페리와 이안 히긴스를 사칭한 이메일을 보내 저를 짧은 청취자 인터뷰 코너에 참여하도록 초대했습니다.  

해당 이메일의 링크는 악의적인 것이었을 것입니다.

당황스러운 부분이 있습니다. 사실 저는 전에 샘과 이안에게 이메일을 보내 쇼의 주제에 대해 논의해 달라고 요청한 적이 있습니다. 저는 진정한 슈퍼팬입니다.  

레이첼이 화면에서 그 구실을 밝혔을 때 제 솔직한 반응은 부주의해서가 아니라 흥분해서 바로 클릭했을 거라는 것이었습니다. 제가 가장 좋아하는 팟캐스트에서 드디어 답변을 받았다고 생각한 순간 제 전문 보안 교육은 모두 증발해 버렸을 것입니다.

"사람들은 인터넷에 제가 믿을 수 있고 보람 있는 구실을 만들 수 있는 작은 덩어리가 있다는 사실을 깨닫지 못합니다."라고 Rachel은 말합니다.

크리켓 팟캐스트는 저에게 큰 도움이 되었습니다.  

레이첼은 효과적인 소셜 엔지니어링은 열정, 관계, 설렘의 순간 등 인간을 인간답게 만드는 한 가지를 찾아내고 이를 정확하게 활용함으로써 성공할 수 있다는 것을 보여주었습니다.  

공개적으로 더 많이 공유할수록 공격자에게 더 많은 원료를 넘겨주는 셈입니다.

그러다 딥페이크에 걸렸습니다.

다음은 음성 복제입니다.  

레이첼은 제가 5개월 전에 출연했던 팟캐스트의 에피소드를 찾았습니다. 그녀는 그 오디오의 약 1분 분량을 사용하여 AI 도구로 제 목소리를 복제했습니다.  

이사회 회의 직전에 비밀번호 관리자가 작동을 멈춰서 동료에게 비밀번호를 읽어 달라고 부탁하는 제 목소리였습니다.

그런 다음 제 얼굴의 실시간 딥페이크 비디오 위에 레이어링했습니다. 전체 패키지에는 Zoom 통화처럼 보이는 화면, 제 얼굴, 제 목소리, 그럴듯한 고압 시나리오가 포함되어 있었습니다.  

청중이 비교할 수 있도록 제가 직접 문구를 읽었습니다. 딥페이크 버전은 실제 배송보다 더 매끄러웠습니다.  

레이첼은 직장 동료, 특히 회의에서 가끔씩만 보는 사람이 매일 제 말을 듣고 제 말투를 정확히 아는 사람보다 훨씬 더 잘 따를 것이라고 생각했습니다.

가장 인상 깊었던 것은 타임라인이었습니다. 음성 복제에는 몇 분이 걸렸습니다. 딥페이크는 실시간으로 생성되었습니다.  

3년 전, 레이첼은 OSINT 서류를 작성하는 데 100시간 가까이 걸렸다고 말했습니다. 오늘날 AI는 이 시간을 20분 또는 30분으로 단축합니다.  

전체 공격 체인에서 동일한 압축이 발생하고 있습니다. 공격자의 워크플로가 산업화되었습니다.

"AI는 공격의 확장성과 신뢰성을 변화시킵니다."라고 그녀는 말합니다. "다른 사람의 얼굴을 쓰고, 다른 사람의 목소리를 내면서 훨씬 더 믿을 수 있게 다른 사람이 될 수 있습니다."

AI 기반 소셜 엔지니어링의 부상

크리켓 팟캐스트의 순간은 당황스럽기도 했지만, AI가 공격자의 툴킷을 얼마나 근본적으로 변화시켰는지를 보여주는 단적인 예이기도 합니다.

3년 전, 레이첼은 저에게 15분 만에 작성했던 서류를 100시간 가까이 걸렸다고 말했습니다. 오늘날 AI는 공격 체인의 모든 단계에서 이를 압축합니다.

공격자의 워크플로우가 산업화되면서 기술 수준이 급격히 낮아졌습니다. 이제 적당한 자원을 갖춘 공격자라면 상당한 전문 지식이 필요했던 표적화된 맞춤형 공격을 수행할 수 있습니다.

특히 위험한 이유는 전술은 변하지 않았지만 AI가 속도, 규모, 신빙성을 크게 향상시켰다는 점입니다.  

레이첼에 따르면 AI 덕분에 기존의 공격은 거의 발견하기 힘들어졌습니다. 아무리 많은 교육을 받아도 개인에게 직접적으로 느껴지는 공격에 대비할 수는 없습니다.

공격 체인의 실제 엔드 투 엔드 모습

세 번째 패널로는 레드팀 해커로서 공격자 측면의 그림을 완성하는 레드쓰렛의 CEO인 앤드류 레몬(Andrew Lemon)이 참여했습니다.  

레이첼이 네트워크에 접속한 후 앤드류의 임무는 공격자가 얼마나 멀리 퍼질 수 있는지 보여주는 것입니다.

그가 가장 자주 보는 패턴은 다음과 같습니다:

  • 측면 이동에제약이 없는 플랫 네트워크
  • 도메인 관리자 기능에 도달하기 위해 사칭할 수 있는 과도한 권한이 부여된 서비스 계정
  • 민감한 데이터로 가득 찬 보호되지 않은 파일 공유 ↪f_200D↩
  • 모니터링 경계 밖에 있는 레거시 시스템

클라우드에서는 개발자가 AI 도구와 최소 실행 가능한 제품을 빠르게 배포하는 반면 보안은 나중에 따라잡을 수 있습니다. 개념 증명은 아무런 통제 없이 프로덕션 인프라가 됩니다.

Andrew는 "일시적인 변화보다 더 영구적인 것은 없습니다."라고 말했습니다.

세분화는 앤드류가 해커로서 가장 좌절감을 느낀다고 말한 아키텍처 결정 중 하나입니다. 사용자가 자체 네트워크 세그먼트에 갇혀 있거나 내부 정책에 의해 측면 이동이 차단된 경우, 릴레이 공격이 VLAN 경계를 넘어 도달할 수 없는 경우에는 옵션이 빠르게 소진됩니다.  

그는 스위치와 프린터 외에는 공격할 대상이 없는 고립된 구역에서 몇 주를 보냈다고 설명했습니다. 이것이 바로 레드팀 훈련에 적합한 결과입니다.

공격을 받으면서 사이버 보안에 대해 배운 점

통제된 환경에서도 이러한 공격 사슬의 한가운데에 있었던 제가 생각의 전환을 하게 된 것은 다음과 같습니다.

공개 공격 표면은 생각보다 넓고 직원들의 공격 표면도 넓습니다. 온라인에서 사용자에 대한 모든 정보는 해커의 구실을 위한 원료가 됩니다. 즉, 정교하고 개인화된 공격이 도착했을 때 직원들이 이를 인지할 것이라는 가정에 의존하지 않는 프로토콜을 구축해야 합니다.  

가장 중요한 것은 자격 증명이 도난당한 후 폭발 반경을 제한하는 방법에 투자하는 것입니다. 마이크로세분화는 여기서 가장 중요한 제어입니다. 워크로드가 도달해야 하는 특정 시스템과만 통신할 수 있는 경우, 자격 증명을 탈취한 공격자는 거의 즉시 벽에 부딪히게 됩니다.

목표는 공격자가 초기 인증 정보에서 의미 있는 결과를 얻기까지 시간이 많이 걸리고 소음이 커서 피해가 발생하기 훨씬 전에 차단이 시작되도록 하는 것입니다.  

마이크로세그멘테이션과 같은 침해 차단 도구로 무장한 환경을 마주했을 때, 그녀의 반응은 이러한 참여가 고통스러울 것이라는 것입니다.  

계약상 계속 노력할 의무가 없는 범죄 행위자에게는 이러한 마찰만으로도 충분한 경우가 많습니다.

웨비나 보기 온디맨드 및 지금 바로 문의하세요 를 참조하여 일루미오가 마이크로세분화를 구축하는 데 어떻게 도움이 되는지 알아보세요.

라구 난다쿠마라
산업 전략 담당 부사장
Illumio Editorial
5월 14, 2026
23 분 읽기
마이크로세그멘테이션
당사에 연락하기
공유

관련 문서

사이버 보안의 비난 문화에 대한 사이버 심리학자의 견해
세분화

사이버 보안의 비난 문화에 대한 사이버 심리학자의 견해

스트레스, AI 위협, 인간의 행동이 어떻게 제로 트러스트를 사이버 복원력에 필수적인 요소로 만드는지 알아보세요.

자세히 알아보기
사이버 복원력
AI 위험에 대비하기 위한 보안 기본 사항으로 돌아가기
사이버 복원력

AI 위험에 대비하기 위한 보안 기본 사항으로 돌아가기

AI의 작동 방식, 취약점, 보안 리더가 AI의 영향에 대응하는 방법에 대한 두 명의 사이버 보안 전문가의 견해를 들어보세요.

자세히 알아보기
사이버 복원력
프로젝트 Glasswing이 사이버 보안을 운영하는 사람들에게 주는 의미
사이버 복원력

프로젝트 Glasswing이 사이버 보안을 운영하는 사람들에게 주는 의미

프로젝트 글래스윙과 Mythos가 지원하는 AI 기반 취약점 발견이 사이버 보안을 어떻게 재편하고 있는지, 세분화를 통한 침해 차단이 왜 지금 중요한지 알아보세요.

자세히 알아보기
사이버 복원력
제로 트러스트 운영 - 1단계: 보호할 대상 파악하기
세분화

제로 트러스트 운영 - 1단계: 보호할 대상 파악하기

기술이 소규모로 배포되었기 때문에 규모의 경제를 추구하거나 전반적으로 관련성이 있는 전략적 솔루션을 설계하는 것보다 애드혹 솔루션이 관리가 용이하고 생산성이 더 높았습니다.

자세히 알아보기
항목을 찾을 수 없습니다.
가트너 EMEA 보안 & 리스크 관리 서밋 2025에서 일루미오와 함께하세요.
세분화

가트너 EMEA 보안 & 리스크 관리 서밋 2025에서 일루미오와 함께하세요.

415번 부스에서 Illumio를 방문하여 AI 기반 CDR, 제로 트러스트, 마이크로세그멘테이션이 실제로 작동하는 모습을 살펴보세요.

자세히 알아보기
항목을 찾을 수 없습니다.
2025년 4월의 주요 사이버 보안 뉴스 기사
세분화

2025년 4월의 주요 사이버 보안 뉴스 기사

침해 차단, AI 통합 가시성, 고객 우선 서비스가 사이버 방어의 미래를 정의하는 이유를 알아보세요.

자세히 알아보기
항목을 찾을 수 없습니다.

지금 일루미오 인사이트 체험하기

AI 기반 관찰 가능성을 통해 위협을 더 빠르게 탐지, 이해, 차단하는 방법을 알아보세요.