[보안뉴스 이소미 기자] 스스로 학습하고 적응하는 ‘에이전트형 AI’(Agentic AI)의 등장으로 ‘스피어 피싱(spear phishing)’ 분야에서 AI가 사람보다 높은 성공률을 기록했다는 연구 결과가 나왔다.


[자료: gettyimagesbank]

핀란드 사이버 보안 기업 ‘혹스헌트’(Hoxhunt)는 최근 2년간 AI가 만든 피싱 이메일과 보안 전문가로 구성된 레드팀이 제작한 피싱 메일의 성공률을 비교하는 실험을 진행했다. 성공률은 전체 공격 시도 대비 사용자의 피싱 링크 클릭 수를 기준으로 측정했다.

초기엔 단일 프롬프트 기반의 단순 공격에 불과했지만, 최근엔 사용자 맞춤형 정보에 감정 표현까지 반영된 정교한 메시지를 만들어낼 수 있게 됐다. 특히 감정 지능(EI: Emotional Intelligence) 향상으로 사람 심리를 자극하는 설득력이 강화되며, AI 피싱 공격 효율이 비약적으로 높아졌다는 평가다.

혹스헌트는 이 실험을 위해 자체 개발 AI 피싱 공격 에이전트 ‘JKR(Joker)’를 투입했다. 이 모델은 학습을 거듭하며 감정 자극형 메시지를 생성해 높은 클릭률을 이끌었다. 그 결과, 실험 초기인 2023년엔 AI의 성공률이 사람보다 31% 낮았지만, 2025년 3월엔 오히려 AI가 사람을 24%나 앞질렀다. 불과 2년 만에 AI의 피싱 성공률이 55%나 향상된 것이다.


▲2025년 3월 기준, AI 스피어 피싱 에이전트의 실패율이 레드팀보다 낮아졌다[자료: 혹스헌트 보고서]

IBM 레드팀도 2023년 유사한 실험을 진행한 바 있다. 당시 챗GPT를 활용한 프롬프트 엔지니어링 방식으로 작성한 피싱 메일의 공격 성공률은 11%로 사람보다 낮았다. IBM은 이를 AI의 감정 지능 부족으로 분석했다. 당시 전문가들은 “AI가 감정 표현 능력까지 갖출 경우 향후 피싱 공격 수준은 정밀 타깃 공격으로 고도화될 수 있다”고 우려감을 표했다.

피리 아비스트 혹스헌트 CEO는 “이제 AI가 규모와 정밀도 등 모든 면에서 사람을 능가하는 피싱 공격을 수행할 수 있다는 사실이 입증됐다”며 “AI 기반 피싱 공격이 고도화된 만큼 보안 전략 역시 이를 탐지하고 대응할 수 있는 AI 기반 방어 체계로 전환돼야 한다”고 말했다.

[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>