피드로 돌아가기
AI Scam Texts Are Now $88/Week. Here's What That Means
Dev.toDev.to
Security

AI 기반 Phishing-as-a-Service 도입으로 공격 비용 $88/주까지 급감

AI Scam Texts Are Now $88/Week. Here's What That Means

Induwara Ashinsana2026년 6월 14일5intermediate

Context

기존 Phishing 공격은 정교한 사이트 구축과 자연스러운 문구 작성이라는 높은 운영 비용과 숙련도가 요구됨. 하지만 Generative AI의 등장으로 콘텐츠 생성 비용과 인프라 구축 진입 장벽이 완전히 붕괴된 상황임.

Technical Solution

  • Gemini LLM을 활용한 다국어 기반 고밀도 Phishing 콘텐츠 자동 생성 구조 설계
  • 290개 이상의 브랜드 템플릿을 미리 구축하여 신규 타겟팅 대상에 즉시 적용하는 Scalable Architecture 구현
  • Google Cloud 및 Google Drive를 활용한 호스팅 비용 최소화 및 신뢰도 높은 도메인 인프라 확보
  • 100만 개 이상의 Fraudulent Domain을 확보하여 차단 시스템을 회피하는 Domain Rotation 전략 적용
  • URL Encoding을 통한 최종 목적지 은닉 기법으로 사용자 보안 인식 우회 로직 설계

Impact

  • 2주간 250만 건의 SMS 발송 및 95개국 36,000개의 결제 카드 정보 탈취
  • AI 도구 도입을 통한 공격 진입 비용을 주당 $88 수준의 구독형 모델(PaaS)로 하락시킴
  • 도난 카드를 통한 전체 피해 추정액 약 19억 달러 달성

Key Takeaway

UI의 완성도와 문구의 자연스러움은 더 이상 서비스의 정당성을 입증하는 지표가 될 수 없음. 따라서 신뢰 모델을 UI/UX 기반에서 Provenance 및 Out-of-band 인증 기반의 구조적 검증 체계로 전환하는 설계 원칙이 필수적임.


- MFA(Multi-Factor Authentication) 도입을 통한 단일 패스워드 인증 체계 탈피 - 결제 및 중요 정보 변경 시 SMS 외 별도 채널을 통한 Out-of-band 확인 절차 구축 - 브랜드 사칭 Lookalike Domain 모니터링 시스템 및 자동 탐지 로직 구현 - 사용자에게 '링크 클릭 금지' 및 '직접 도메인 입력'을 권고하는 보안 정책 수립

원문 읽기