[보안칼럼]스미싱 피해, AI 이용한 악성 URL 탐지 기술로 예방

악성 인터넷주소(URL)를 이용한 스미싱 건수가 급증하고 있어 대응이 요구된다. 한국인터넷진흥원(KISA) 발표에 따르면 지난해 스미싱 탐지 건수는 219만6469건으로 2023년 50만3300건에 비해 4배 이상 증가했다. 스미싱 탐지 건수는 2022년엔 3만7122건이었으나 최근 2년간 급격히 늘어났다.

스미싱 수법도 진화하고 있다. 공공기관을 사칭하거나 지인으로 위장해 청첩장, 부고장 등을 보내고 정교하게 만들어진 피싱 사이트로 접속을 유도한다. 피해자가 피싱 사이트에 접속해 직접 개인정보를 입력하고 악성 애플리케이션(앱)을 다운로드하도록 하는 경우도 있다. 개인정보 입력 과정에서 공격자들의 '타깃'에 해당하는지 확인해 사기 성공률을 높일 수 있기 때문이다.

이들 피싱 사이트를 통해 유포되는 악성 앱도 지능화되는 추세다. 공격 그룹은 난독화된 악성 앱이나, 과도한 권한을 요구하는 원격조종 앱 등을 유포해 기존 보안 솔루션을 우회한다. 설치된 악성 앱의 아이콘을 투명화해 은닉하는 등 수법도 피해자가 피해 사실을 정확히 인식하는 데 어려움을 준다.

KISA는 이용자들이 직접 자신이 받은 문자메시지의 악성 여부를 확인할 수 있는 '스미싱 확인 서비스'를 제공하며, 경찰청 및 통신사 등과 협력해 스미싱 피해를 막을 수 있도록 대응하고 있다. 그러나 신고 기반의 대응 방식은 대부분 피해 발생 이후에 이뤄지는 사후적인 조치로 피해 확산을 막는 데 한계가 있었다.

이에 주목받는 것이 악성 앱 유포에 활용되는 URL을 탐지해 사전에 차단하는 기술이다. 특히 인공지능(AI)을 이용하면 악성 URL 탐지 시스템을 우회하기 위한 다양한 공격 기법에도 효과적으로 대응할 수 있다.

피싱 사이트는 보안 솔루션의 차단 대상으로 데이터베이스(DB)에 등록되기도 전에 생겼다가 사라지기를 반복한다. 단축 URL 및 한글 URL 등을 이용해 탐지를 회피하기도 한다. 이 때문에 단순히 신고로 등록된 DB에 의존하는 탐지 방식으론 신규 악성 URL의 생성 및 전파 속도를 따라잡기 어려울 수 있다.

DB에 등록되지 않은 URL이라도 연결된 사이트에 접속했을 때 악성 앱을 유포하고 있다면 악성 URL로 판정할 수 있다. 자칫 과잉 탐지로 인해 정상적인 사이트 유입을 막지 않기 위해서라도, 수집된 URL이 실제로 악성 앱을 유포하는 사이트로 이동하는지 검증하는 과정이 중요하다. 하지만 이를 수동으로 매번 확인하려면 막대한 리소스가 발생한다.

AI는 이 과정을 자동화해 이러한 문제에 효과적으로 대응할 수 있도록 돕는다. 머신러닝(ML) 기술이 적용된 URL 탐지 솔루션은 짧은 시간에 대량의 URL을 자동으로 수집·분석하고 악성 여부 판정까지 진행할 수 있다. 이를 통해 URL 탐지 이후 차단에 이르기까지의 시간을 획기적으로 줄이고, 스미싱 피해를 선제적으로 예방하는 데 기여한다.

ML 검사 외에 의심 통신 내역 검사, 도메인을 이용한 화이트리스트 판별 등 AI와 휴리스틱 분석 기술을 결합하면 탐지 정확도도 더욱 높일 수 있다.

실제로 이 기술이 적용된 분석 솔루션을 도입한 기업에선 월평균 1만건 이상의 악성 URL을 탐지해 고객 피해를 줄이는 성과를 거뒀다. 또 다른 사용자도 악성 앱 한 건을 분석하는 데 필요한 시간이 기존 2시간가량에서 5분 남짓으로 줄었다는 후기도 전해왔다.

KISA는 최근 기업 메시징 서비스 제공 사업자를 대상으로 '악성 문자 X레이 시스템'을 도입한다고 밝혔다. 기업 메시징 서비스 제공 사업자가 발송 문자 내 URL 주소의 악성 여부를 분석하고, 악성 판정 시 문자 발송을 차단해 스미싱 피해를 예방하는 시스템이다. 유관 기업 및 기관들이 적극적으로 협력해 스미싱 피해를 최소화할 수 있기를 기대한다.

고봉수 시큐리온 대표 bsko@securion.co.kr