3줄 요약
1. 2025년, 생성형 AI가 보안 영역에 들어오면서 사이버사기 영향력 증가
2. 서비스형 사기·큐싱·딥페이크·디지털 조작·사기 GPT 등이 꼽혀
3. 국내 사이버사기 지난해 상반기만 11만 2,473건으로 꾸준히 증가세
<보안뉴스>의 보안전문 기자들이 2025년 국내외 보안시장의 핵심 기술과 키워드 10개를 선정했다. 보안 핫 키워드 10개는 본지가 매년 시행하고 있는 보안시장 설문조사와 함께 보안업계 관계자, 전문가 인터뷰를 통해 도출했다. 인공지능 CCTV 확대, 모바일 통한 본인인증 활성화, 생성형 AI 보안위협, ‘세계 정치의 해’에 따른 북한발 사이버위협 및 핵티비즘 고조 등을 꼽았던 2024년과 달리 2025년에는 어떤 보안 이슈들이 주목 받게 될지 지금부터 하나씩 살펴보자. [편집자주]
[이미지=gettyimagesbank]
[보안뉴스 김영명 기자] ‘생성형 AI’라는 신기술은 전 세계 IT 업계 지도를 송두리째 바꾸고 있다. 이 기술이 보안 영역에 들어오면서 ‘사이버 사기(Cyber Fraud)’의 영향력이 거세지고 있다. 웜GPT(WormGPT, 생성형AI 기반 사이버 범죄 도구), 사기GPT(FraudGPT, AI 기반 피싱 도구) 등이 그것이다.
경찰청에서 집계한 자료를 토대로 했을 때 우리나라에서 2019년부터 2023년까지 집계된 사이버사기 발생 건수는 총 77만 4,959건, 피해액은 총 4조 7,031억원이다. 2024년 상반기의 사이버사기 건수는 11만 2,473건으로 이미 2023년 전체 발생 건수(16만 7,688건)의 67.07%를 달성했다.
신기술 확산과 함께 2025년 주목해야 할 사이버 사기 유형으로는 FaaS(서비스형 사기), 큐싱(Qshing), 딥페이크, 디지털 조작, AI를 활용한 사기 등 다섯 가지를 꼽을 수 있다.
첫 번째로 FaaS (Fraud-as-a-Service, 서비스형 사기)다. 랜섬웨어가 서비스형 랜섬웨어(RaaS)화됐듯이 사기(Fraud)도 서비스되고 있다. FaaS는 불법 서비스와 사이버 범죄도구, 리소스 및 전문지식 등을 마켓플레이스를 통해 제공한다. FaaS 모델은 가짜 신원 생성에서부터 맞춤형 피싱 및 멀웨어 캠페인 제공까지 수월한 공격을 위한 모든 서비스를 제공한다.
두 번째는 큐싱(Qshing)의 확산이다. 코로나19로 출입명부 시스템의 전자화를 위해 도입된 QR코드는 신속하고 간편한 사용으로 대중화되고 있다. 여기에서 파생된 큐싱은 QR코드와 피싱이 결합된 용어로 출처가 불명확한 QR을 스캔했을 때 악성 앱 설치 또는 피싱사이트로 연결돼 이뤄지는 비대면 금융사기다.
큐싱은 간단한 촬영만으로 손쉽게 링크된 주소로 연결되고, 연결되는 사이트가 보안상 문제가 있는지 확인 절차가 없어 큰 피해로 이어질 수 있다. 스마트폰으로 QR코드를 스캔하게 되면 스마트폰 화면 상에 연결되는 URL이 표시되지만, 해당 웹사이트가 얼마나 안전한 사이트인지 불법 사이트는 아닌지 직접 접속해 확인하지 않고서는 인지할 방법이 없어 더욱 위험하다.
세 번째는 딥페이크(Deepfake)다. 신종 사이버 사기로 등장한 ‘딥페이크’는 주요 정치인, 글로벌 기업 CEO, 팝스타 등 전 세계 유명인에게 피해가 확산되고 있다. 글로벌 신원확인 솔루션 기업 레귤라(Regula)의 2024년 8월 분석에 따르면 2022년에 전 세계 기업의 92%가 딥페이크 신원 사기를 당했다. 2024년은 전 세계 50%의 기업이 오디오·비디오 딥페이크로 신원사기 시도를 경험했다. 산업별로는 의료 및 통신 분야에서 전 세계 29%의 기업이 합성 신원사기를 경험했다.
유형별 딥페이크 비중은 △가짜문서-법집행기관·금융 66% △오디오 딥페이크-법집행기관·크립토 57% △비디오 딥페이크-기술 57% △합성신원사기는 53%가 암호화·금융·기술·항공이다. 보안기업 시큐리티히어로에 따르면 지난해 딥페이크 음란물 피해국 1위는 한국(53%)이었다.
네 번째는 디지털 조작이다. 디지털플랫폼정부의 출범과 함께 정부는 디지털 문서를 활성화하며 디지털 조작으로 인한 문서의 위조도 늘어나고 있다. 특히 모바일 주민등록증과 운전면허증, 국가보훈등록증, 공무원증이 도입되며 디지털 문서 위조 건수도 높아질 수밖에 없다. 사이버 범죄자는 어도비 포토샵 등 편집도구에 더해 생성형 AI 도구를 사용해 가짜 신원을 손쉽게 합성할 수 있다. 특히 개인식별정보(Personally Identifiable Information, PII)가 도난되거나 임의의 PII가 포함된 AI 이미지로 합성 신원의 생성이 가능하다.
신원인식 기술기업 온피도의 보고서에 따르면 디지털 문서 위조 건수는 2023년에 244%가 증가했다. 위조 건수의 증가로 기업은 미묘한 변조까지 감지 가능한 고급 문서 확인 도구의 필요성이 늘어나고 있다.
다섯 번째는 AI를 활용한 사기다. 챗GPT(ChatGPT)에서 파생된 악성 AI 챗봇 웜GPT(WormGPT)와 같은 생성형 AI 도구를 사용하면 아마추어도 쉽고 정교하게 사이버사기를 감행할 수 있다. 웜GPT는 멀웨어 관련 데이터셋을 학습해 초보자도 고난도의 사이버 공격을 할 수 있도록 설계됐으며, 악성코드와 멀웨어, 피싱메일 등을 손쉽게 만들어준다. 또한 취약점이나 사기가 가능한 사이트를 찾고 해킹 수법과 사이버 범죄의 조언까지 제공하고 있다.
[김영명 기자(boan2@boannews.com)]
1. 2025년, 생성형 AI가 보안 영역에 들어오면서 사이버사기 영향력 증가
2. 서비스형 사기·큐싱·딥페이크·디지털 조작·사기 GPT 등이 꼽혀
3. 국내 사이버사기 지난해 상반기만 11만 2,473건으로 꾸준히 증가세
<보안뉴스>의 보안전문 기자들이 2025년 국내외 보안시장의 핵심 기술과 키워드 10개를 선정했다. 보안 핫 키워드 10개는 본지가 매년 시행하고 있는 보안시장 설문조사와 함께 보안업계 관계자, 전문가 인터뷰를 통해 도출했다. 인공지능 CCTV 확대, 모바일 통한 본인인증 활성화, 생성형 AI 보안위협, ‘세계 정치의 해’에 따른 북한발 사이버위협 및 핵티비즘 고조 등을 꼽았던 2024년과 달리 2025년에는 어떤 보안 이슈들이 주목 받게 될지 지금부터 하나씩 살펴보자. [편집자주]
[이미지=gettyimagesbank]
[보안뉴스 김영명 기자] ‘생성형 AI’라는 신기술은 전 세계 IT 업계 지도를 송두리째 바꾸고 있다. 이 기술이 보안 영역에 들어오면서 ‘사이버 사기(Cyber Fraud)’의 영향력이 거세지고 있다. 웜GPT(WormGPT, 생성형AI 기반 사이버 범죄 도구), 사기GPT(FraudGPT, AI 기반 피싱 도구) 등이 그것이다.
경찰청에서 집계한 자료를 토대로 했을 때 우리나라에서 2019년부터 2023년까지 집계된 사이버사기 발생 건수는 총 77만 4,959건, 피해액은 총 4조 7,031억원이다. 2024년 상반기의 사이버사기 건수는 11만 2,473건으로 이미 2023년 전체 발생 건수(16만 7,688건)의 67.07%를 달성했다.
신기술 확산과 함께 2025년 주목해야 할 사이버 사기 유형으로는 FaaS(서비스형 사기), 큐싱(Qshing), 딥페이크, 디지털 조작, AI를 활용한 사기 등 다섯 가지를 꼽을 수 있다.
첫 번째로 FaaS (Fraud-as-a-Service, 서비스형 사기)다. 랜섬웨어가 서비스형 랜섬웨어(RaaS)화됐듯이 사기(Fraud)도 서비스되고 있다. FaaS는 불법 서비스와 사이버 범죄도구, 리소스 및 전문지식 등을 마켓플레이스를 통해 제공한다. FaaS 모델은 가짜 신원 생성에서부터 맞춤형 피싱 및 멀웨어 캠페인 제공까지 수월한 공격을 위한 모든 서비스를 제공한다.
두 번째는 큐싱(Qshing)의 확산이다. 코로나19로 출입명부 시스템의 전자화를 위해 도입된 QR코드는 신속하고 간편한 사용으로 대중화되고 있다. 여기에서 파생된 큐싱은 QR코드와 피싱이 결합된 용어로 출처가 불명확한 QR을 스캔했을 때 악성 앱 설치 또는 피싱사이트로 연결돼 이뤄지는 비대면 금융사기다.
큐싱은 간단한 촬영만으로 손쉽게 링크된 주소로 연결되고, 연결되는 사이트가 보안상 문제가 있는지 확인 절차가 없어 큰 피해로 이어질 수 있다. 스마트폰으로 QR코드를 스캔하게 되면 스마트폰 화면 상에 연결되는 URL이 표시되지만, 해당 웹사이트가 얼마나 안전한 사이트인지 불법 사이트는 아닌지 직접 접속해 확인하지 않고서는 인지할 방법이 없어 더욱 위험하다.
세 번째는 딥페이크(Deepfake)다. 신종 사이버 사기로 등장한 ‘딥페이크’는 주요 정치인, 글로벌 기업 CEO, 팝스타 등 전 세계 유명인에게 피해가 확산되고 있다. 글로벌 신원확인 솔루션 기업 레귤라(Regula)의 2024년 8월 분석에 따르면 2022년에 전 세계 기업의 92%가 딥페이크 신원 사기를 당했다. 2024년은 전 세계 50%의 기업이 오디오·비디오 딥페이크로 신원사기 시도를 경험했다. 산업별로는 의료 및 통신 분야에서 전 세계 29%의 기업이 합성 신원사기를 경험했다.
유형별 딥페이크 비중은 △가짜문서-법집행기관·금융 66% △오디오 딥페이크-법집행기관·크립토 57% △비디오 딥페이크-기술 57% △합성신원사기는 53%가 암호화·금융·기술·항공이다. 보안기업 시큐리티히어로에 따르면 지난해 딥페이크 음란물 피해국 1위는 한국(53%)이었다.
네 번째는 디지털 조작이다. 디지털플랫폼정부의 출범과 함께 정부는 디지털 문서를 활성화하며 디지털 조작으로 인한 문서의 위조도 늘어나고 있다. 특히 모바일 주민등록증과 운전면허증, 국가보훈등록증, 공무원증이 도입되며 디지털 문서 위조 건수도 높아질 수밖에 없다. 사이버 범죄자는 어도비 포토샵 등 편집도구에 더해 생성형 AI 도구를 사용해 가짜 신원을 손쉽게 합성할 수 있다. 특히 개인식별정보(Personally Identifiable Information, PII)가 도난되거나 임의의 PII가 포함된 AI 이미지로 합성 신원의 생성이 가능하다.
신원인식 기술기업 온피도의 보고서에 따르면 디지털 문서 위조 건수는 2023년에 244%가 증가했다. 위조 건수의 증가로 기업은 미묘한 변조까지 감지 가능한 고급 문서 확인 도구의 필요성이 늘어나고 있다.
다섯 번째는 AI를 활용한 사기다. 챗GPT(ChatGPT)에서 파생된 악성 AI 챗봇 웜GPT(WormGPT)와 같은 생성형 AI 도구를 사용하면 아마추어도 쉽고 정교하게 사이버사기를 감행할 수 있다. 웜GPT는 멀웨어 관련 데이터셋을 학습해 초보자도 고난도의 사이버 공격을 할 수 있도록 설계됐으며, 악성코드와 멀웨어, 피싱메일 등을 손쉽게 만들어준다. 또한 취약점이나 사기가 가능한 사이트를 찾고 해킹 수법과 사이버 범죄의 조언까지 제공하고 있다.
[김영명 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
