누구나 해커가 되는 시대... ‘서비스형 피싱 키트’ 2배 급증 작성일 01-28 9 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qV5cXi8Bsr"> <p contents-hash="a97d705b23556dd791c9873393d8dad8d445c5fd56d4c0292dc60301a218b4b3" dmcf-pid="Bf1kZn6bEw" dmcf-ptype="general"><strong>위스퍼 2FA부터 생성형 AI까지 더 교묘해져</strong></p> <p contents-hash="c4dfd9b0df48993250d5d0939d97fd83916f79ce8ffa7c55b45cca5392662c56" dmcf-pid="b63wtgx2sD" dmcf-ptype="general">[보안뉴스 김형근 기자] 보안 기업 바라쿠다(Barracuda)의 ‘2025 피싱 보고서’에 따르면, 사이버 범죄자들의 피싱 공격을 돕는 ‘서비스형 피싱’(PhaaS) 키트의 수가 2025년 한 해 동안 전년 대비 2배나 급증한 것으로 확인됐다. </p> <p contents-hash="9fc1783f9cfa9463cb5e57c6c33bde927e7b4a94343bc1ee6c55055f1ec6fe5e" dmcf-pid="KP0rFaMVrE" dmcf-ptype="general">위스퍼 2FA(Whisper 2FA)나 고스트프레임(GhostFrame) 같은 신흥 피싱 세력들이 분석을 방해하는 정교하고 회피적인 도구들을 속속들이 도입하면서 보안 팀의 대응이 더욱 힘겨워지고 있다. </p> <figure class="figure_frm origin_fig" contents-hash="d6d7da83cf00346be0f4d2312d5021de2a97f369edc196088ace6ad30c4cb225" dmcf-pid="9Qpm3NRfDk" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/28/552815-KkymUii/20260128113836733mlyy.jpg" data-org-width="1000" dmcf-mid="qFsCukiPrs" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/28/552815-KkymUii/20260128113836733mlyy.jpg" width="658"></p> </figure> <div contents-hash="8a9538d7988cf4fb48962aa5991665b48cfea1ae6fb18cd1d48135d4f1d5a71e" dmcf-pid="2xUs0je4Dc" dmcf-ptype="general"> <div> <p>[출처: gettyimagesbank]</p> </div> <br>기존의 강자인 맘바(Mamba)와 타이쿤(Tycoon) 그룹 역시 수백만 건의 공격을 성공시키며 기술을 철저하게 고도화하고 있다. </div> <p contents-hash="33ccaa524235b26264a9c5ff8c7352b87afc4c6a9211fe0b7b19cdefcd9826f7" dmcf-pid="VMuOpAd8wA" dmcf-ptype="general">2025년 피싱 키트에서 가장 두드러진 특징은 다중 인증(MFA) 우회 기술과 URL 난독화 기술로, 각각 전체 공격의 48%라는 큰 비중을 차지했다. 보안 장비의 자동 분석을 피하기 위해 캡차(CAPTCHA)를 악용하는 수법도 43%에 달해, 공격자들이 방어 체계를 낱낱이 연구하고 있음을 보여줬다. </p> <p contents-hash="44e5931c85d7b8cc1ac26b7f9a444e639a4367d19723232f048ab2a83af6c29c" dmcf-pid="fR7IUcJ6Dj" dmcf-ptype="general">이외에도 다형성 기법이나 악성 QR 코드를 활용한 공격이 20%를 기록했으며, 신뢰할 수 있는 플랫폼 사칭이나 생성형 AI 도구를 활용한 공격도 각 10%씩 포착되는 등 심각한 양상을 띠고 있다.</p> <p contents-hash="f025b428378fffcefe15bbd116814abf855f4db343c8f5e7f48ac78b714bc850" dmcf-pid="4ezCukiPEN" dmcf-ptype="general">피싱 이메일의 주제는 예년과 비슷하지만, 생성형 인공지능(AI) 덕분에 문구와 로고가 정밀하게 다듬어져 사용자가 가짜임을 눈치채기 어렵게 진화했다. </p> <p contents-hash="328f0e7fe62e106dd88241c4dbe524e12ff4a918b1f1b29034464b9010b42d61" dmcf-pid="8dqh7EnQsa" dmcf-ptype="general">전체 피싱 메일의 19%는 결제 및 송장 사기와 관련된 것으로 나타났으며, 디지털 서명이나 문서 검토를 사칭한 공격(18%), 인사(HR) 관련 안내(13%)가 그 뒤를 잇는 것으로 나타났다. </p> <p contents-hash="e9b7c41f8ecea26d13825b26927a517664d32bebf7f03d5a6558cb8099d06f7a" dmcf-pid="6tOxm90HEg" dmcf-ptype="general">바라쿠다의 아속 사크티벨(Ashok Sakthivel) 기술 이사는 피싱 키트의 양적·질적 성장이 초보 해커들에게도 대규모 캠페인을 벌일 수 있는 강력한 플랫폼을 제공하고 있다고 심각하게 경고했다.</p> <p contents-hash="b65322b57dab1280a9b9911b0cd559dc5cf7905eb4ac151ce5c644889c1fd786" dmcf-pid="PFIMs2pXEo" dmcf-ptype="general">이러한 키트들은 사용자와 보안 시스템이 사기를 탐지하기 어렵게 만드는 최신 기술들을 통합하고 있어 기존의 정적인 방어 체계로는 한계가 있다. 따라서 기업들은 단순히 비밀번호를 강화하는 수준을 넘어, 사용자 교육과 더불어 “피싱 저항(Phishing-resistant)’ 기능이 있는 MFA 도입 등 다층적인 방어 전략을 철저하게 수립해야 한다. </p> <p contents-hash="a8942be019f1c95fa2ff36d8cde84a5d931392d6ac98a253c5a26d36e4e8da1e" dmcf-pid="Q3CROVUZEL" dmcf-ptype="general">또한 이메일 보안을 통합 보안 전략의 핵심으로 삼고 지속적인 모니터링을 병행하는 것이 중대한 과제로 떠올랐다.결국 2025년은 기술의 발전이 공격자들에게 더 유리하게 작용하며 피싱의 문턱을 낮춘 한 해로 기록될 전망이다. </p> <p contents-hash="1a38c874d4f072cf65d4cb3cb6ed730cc6b693aa8d1e7bae7db7323a8dd9b5d4" dmcf-pid="x0heIfu5En" dmcf-ptype="general">해커들은 생성형 AI와 노코드 플랫폼을 이용해 더 빠르고 정밀하게 공격 도구를 만들어내고 있으며, 이는 전 세계 기업들에게 중대한 위협이 되고 있다. 보안 담당자들은 변화하는 피싱 키트의 동향을 자세하고 파악하고, 위협에 선제적으로 대응할 수 있는 능력을 갖추는 것이 무엇보다 중요하다. </p> <p contents-hash="77f1587a0373cb0261199a79db77930d6940d1573e4852863b3950ac46bb6e50" dmcf-pid="yN4GVCcnmi" dmcf-ptype="general">바라쿠다의 보고서는 현대의 피싱이 단순한 속임수를 넘어 고도로 자동화된 첨단 산업으로 변모했음을 보여준다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 김승수, '박세리 결혼설' 입 열었다 "아니라 해도 잘 살라고"[스타이슈] 01-28 다음 코오롱베니트, 미래 전략 타운홀 미팅 “성장 동력 키워드는 AX” 01-28 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
