LLM 도입에 따른 사기 공격 비용 구조의 변화
기존의 사기 공격은 저비용 대량 발송형(Spray-and-Pray)과 고비용 표적형이라는 양극단(Bimodal) 분포를 보였다. 전자는 낮은 설득력으로 다수에게 발송해 소수의 취약한 대상을 낚는 방식이며, 후자는 조직적 권한을 가진 고가치 표적을 위해 숙련된 인간이 오랜 시간 공을 들이는 방식이다. 하지만 LLM(대규모 언어 모델)의 등장은 이 중간 지점의 비용 곡선을 무너뜨렸다.
2024년 발표된 논문에 따르면, LLM을 활용한 스피어피싱(Spear-phishing) 작업 비용은 이메일당 약 4센트로 측정됐다. 이는 과거 숙련된 공격자가 수동으로 수행하던 표적 조사, 맞춤형 메시지 작성, 반응에 따른 동적 대응 과정을 토큰 비용 수준으로 낮췄음을 의미한다. 비용의 하락은 곧 규모의 확장으로 이어진다.
규모의 확장은 공격의 양상을 세 가지 방향으로 변화시킨다. 첫째는 '인내심(Patience)'의 확보된다. 인간 공격 팀은 한 명의 표적을 위해 수개월을 기다리기 어렵지만, LLM은 수천 명의 표적을 동시에 관리하며 적절한 타이밍까지 잠복할 수 있다. 둘째는 '조합(Composition)'이다. 작은 규모의 사기로 자금 운반책을 먼저 모집한 뒤, 이를 이용해 더 큰 자금을 유출하는 식의 단계적 결합이 가능해진다. 셋째는 '새로운 표적(New Targets)'의 생성이다. 탈취된 1,000개의 계정이 동시에 인증된 위치로 활용될 경우, 플랫폼이 감수하던 소수의 사기 비용 임계치를 넘어 시스템 전체의 취약점으로 작용하게 된다.
세션 쿠키 탈취와 계정 장악의 기술적 파이프라인
공격의 핵심 진입점은 SSO(Single Sign-On) 로그인을 모방한 세션 쿠키 탈취다. 공격자는 LinkedIn 등을 통해 표적의 역량에 맞춘 가짜 채용 제안을 보내고, NDA(비밀유지계약) 서명을 위해 legaltech SaaS 플랫폼으로 유도한다. 이때 "Sign in with [Provider]" 방식의 현실적인 로그인 흐름을 구현한 피싱 사이트를 이용한다.
사용자가 비밀번호를 입력하고 2FA(2단계 인증)의 "기기에서 예 누르기" 단계를 승인하면, 공격자는 실시간으로 실제 계정에 로그인하여 세션 쿠키를 저장한다. 사용자 화면에는 정상 로그인으로 표시되지만, 공격자는 이미 인증된 세션을 확보한 상태가 된다. 이후 공격자는 계정 내 경보 이메일을 사전 필터링하여 사용자가 침입 사실을 인지하지 못하도록 차단하는 방식으로 접근 권한을 유지한다.
확보된 권한은 정밀한 모니터링으로 이어진다. 공격자는 클라우드 파일을 다운로드하고 캘린더를 통해 사용자의 휴가 시점을 파악한다. 특히 금융 자산 탈취 시에는 즉각적인 대량 이체 대신, 자주 사용하지 않는 증권계좌의 비밀번호를 재설정하고 소액 이체를 반복해 사용 패턴을 형성함으로써 금융 시스템의 이상 거래 탐지(FDS)를 회피한다. 최종적으로 사용자가 부재 중인 시점에 자금을 인출하고 계정을 잠가 사건 재구성을 어렵게 만든다. 이 과정에서 LLM은 표적 조사, 맞춤형 텍스트 생성, 음성 복제, 실시간 영상 딥페이크를 통해 신뢰도를 높이는 도구로 활용된다.
무너진 휴리스틱과 하드웨어 기반 방어 체계로의 전환
그동안 사용자들이 사기를 판별하던 휴리스틱(경험적 판단 기준)은 '비용'과 '능력'이라는 두 가지 지표에 의존했다. 유창하고 개인화된 문체는 상대가 나를 위해 시간을 들였다는 비용의 신호였고, 영상 통화나 음성 확인은 위조하기 어렵다는 능력의 한계 지표였다. 그러나 LLM과 딥페이크는 이 두 지표를 모두 무력화했다. 이제 유창한 글과 정교한 영상은 더 이상 실제 사람의 노력이나 신원을 보장하지 않는다.
개발자와 보안 실무자는 이제 소프트웨어 기반의 인증을 넘어 하드웨어 기반의 강한 인증 체계로 판단 기준을 옮겨야 한다. SMS나 인증 앱 기반의 2FA는 세션 탈취나 사회공학적 기법에 취약하다. 반면 FIDO2/WebAuthn 표준을 따르는 하드웨어 보안 키는 인증 과정에서 웹사이트 도메인을 포함하여 서명하므로, 피싱 사이트가 서명을 단순 전달하는 방식의 공격을 원천적으로 차단한다.
운영 측면에서는 통신의 '진정성'보다 '발신 경로'의 신뢰도에 집중해야 한다. 수신된 이메일의 헤더(from:)나 발신자 표시(Caller ID)는 쉽게 위조 가능하므로, 신뢰할 수 없는 채널로 온 긴급 요청은 반드시 별도의 확인 채널을 통해 교차 검증해야 한다. 가족이나 조직 내에서는 기록에 남지 않는 과거의 특정 사건을 묻는 '구두 암호(Spoken Passwords)' 설정이 실질적인 방어책이 된다. Mozilla가 Mythos를 통해 Firefox를 레드팀(Red-teaming)하며 보안 취약점을 찾고, Android가 impersonated call detection(사칭 전화 탐지)을 도입하는 것 역시 LLM 기반의 자동화된 공격 환경에 대응하기 위한 기술적 변화다.
