피싱 문자·메일, GPT가 쓰면 구별이 안 됩니다 — 3초 체크리스트

“[CJ대한통운] 주소 불일치로 배송 보류 중. 확인: https://cjlog-kr.xyz”

이런 문자를 받아본 적 있을 거다. 아니면 “카카오계정 비정상 로그인 감지”라는 메일이 왔거나. 한 번쯤은 손이 갔을 거다 — 진짜 택배를 기다리고 있었다면 특히.

2024년까지는 이런 피싱이 대부분 어설펐다. 어색한 문장, “고객님귀하” 같은 이상한 호칭, 도메인이 .cn으로 끝나는 등. 눈치 빠른 사람은 걸러냈다.

2025년부터 상황이 바뀌었다. GPT-4 수준의 언어 모델을 쓰면, 완벽한 한국어 존댓말에 CJ대한통운 고객센터 톤까지 복제한 문자를 5초 만에 찍어낸다. 맞춤법으로 거르던 시대가 끝났다.

맞춤법이 완벽한 피싱이 오는 시대

과거의 피싱은 번역투가 필터 역할을 했다. “귀하의 계좌가 정지되었다. 즉시 확인하라” — 이런 건 직감적으로 이상했다.

AI가 바꾼 건 “자연스러움” 이다. ChatGPT에 “CJ대한통운 고객센터 직원처럼 배송 지연 안내 문자를 써줘”라고 시키면, 실제 고객센터 문자와 구분이 안 되는 결과물이 나온다. 발신자 도메인을 확인하지 않는 한, 내용만으로는 진위를 판단할 수 없다.

SlashNext의 2024년 피싱 보고서에 따르면 악성 이메일·메시징 위협이 전년 대비 856% 증가했다(AI 활용 공격 급증이 주요 원인). 이건 글로벌 수치고, 한국도 예외가 아니다.

한국에서 가장 흔한 피싱 3가지

1. 택배 사칭 문자 (스미싱)

“[로젠택배] 배송 실패. 주소지 확인 요청: http://logen-check.com”

택배를 기다리는 중이면 거의 반사적으로 누르게 된다. 이게 노리는 거다 — 타이밍.

실제 택배사(CJ대한통운, 한진, 로젠)는 URL이 포함된 문자를 보내지 않는다. 공식 알림은 “배송 완료” 같은 단순 안내이거나, 앱 푸시 알림이다.

판별 포인트: 문자에 출처 불명의 URL이 있으면 피싱으로 간주. 공식 도메인(cjlogistics.com 등)이 아닌 URL은 누르지 마라.

2. 카카오 계정 인증 사칭

“카카오계정에서 비정상적인 로그인이 감지되었습니다. 본인이 아닌 경우 아래 링크에서 확인해주세요.”

이건 심리적으로 강력하다. 카카오톡은 한국인 대부분이 매일 쓰는 메신저라서, 계정이 뚫렸다는 말에 공포가 먼저 온다.

카카오 공식 보안 알림은 카카오톡 앱 내 알림 또는 @kakao.com 도메인 메일로만 온다. kakao-security.net, kakao-auth.com 같은 도메인은 전부 피싱이다.

판별 포인트: 내가 로그인을 시도한 적 없는데 인증 요청이 왔다면, 그게 어떤 서비스든 무시.

3. 국세청·건보공단 환급 사칭

“[국세청] 2025년 종합소득세 과오납분 환급 안내. 환급 신청: https://nts-refund.kr”

세금 환급은 돈이 관련되니까 클릭률이 높다. 특히 5월 종합소득세 시즌에 집중적으로 뿌려진다.

국세청은 환급 안내를 문자 링크로 보내지 않는다. 홈택스(hometax.go.kr) 직접 로그인 또는 우편 고지서가 공식 채널이다.

판별 포인트: 정부기관이 문자로 링크를 보냈다면 피싱. 공식 안내는 .go.kr 웹사이트 직접 접속 또는 우편.

의심 문자·메일 받았을 때 — 3초 체크리스트

모든 피싱은 결국 세 가지 중 하나를 노린다: 링크 클릭, 개인정보 입력, 앱 설치. 문자든 메일이든 이 세 단계로 거른다.

1단계 — 발신자 확인 (1초)

문자: 발신 번호가 짧은 번호(예: 1588-xxxx)가 아닌 010 번호이거나 해외 번호면 피싱. 메일: @ 뒤 도메인 확인. @naver.com이 아니라 @naveer.com이면 피싱. @samsung.co.kr.phishing.com처럼 앞에 진짜 도메인을 붙여놓는 트릭도 있음 — 맨 뒤 도메인이 진짜.

2단계 — 링크 확인 (1초)

URL을 길게 눌러서(모바일) 또는 마우스 올려서(PC) 실제 주소 확인. 공식 도메인(cjlogistics.com, kakao.com, hometax.go.kr)이 아니면 누르지 않음. 단축 URL(bit.ly, tinyurl)이 포함되어 있으면 일단 의심.

3단계 — “지금 당장” 압박 확인 (1초)

“24시간 내 미확인 시 계정 정지”, “오늘까지 미신청 시 환급 불가” — 정상적인 기업이나 정부기관은 이렇게 압박하지 않는다. 긴급하다고 느껴질수록 멈춰야 한다.

세 단계 중 하나라도 걸리면, 해당 문자·메일의 링크는 누르지 않고 직접 공식 앱이나 웹사이트에 접속해서 확인한다.

피싱 링크를 이미 눌렀다면

링크만 눌렀고 아무것도 입력 안 했다면: 브라우저 닫기 → 캐시·쿠키 삭제 → 이것만으로 대부분 괜찮다.

앱이 설치됐다면: 즉시 삭제 → V3 모바일 시큐리티 등으로 악성앱 검사 → 설치 후 입력한 정보가 있다면 해당 서비스 비밀번호 즉시 변경.

금융 정보(카드번호, 계좌번호, OTP)를 입력했다면: 해당 금융기관 고객센터에 즉시 전화 → 카드 정지 또는 계좌 지급정지 요청. 경찰청 사이버안전국(ecrm.police.go.kr)에 신고.

누가 얼마나 조심해야 하는가

🟢 일반 사용자 — 위의 3초 체크리스트만 습관화하면 대부분의 피싱을 거른다. 추가로 스마트폰에서 “출처를 알 수 없는 앱 설치”를 차단해두면 스미싱 앱 설치 자체가 막힌다. 이것만 해도 충분하다.

🟡 민감한 상황 (회사 메일, 금융 거래, 기업 임원) — 3초 체크리스트 + 이메일 발신자의 SPF/DKIM 인증 여부 확인. 대부분의 메일 클라이언트(Gmail, Outlook)가 인증 실패 메일에 경고 표시를 해준다. 회사 메일로 온 “긴급 송금 요청”은 반드시 전화로 본인 확인.

🔴 OPSEC 필요 (기자, 활동가, 내부고발자) — 타겟형 스피어 피싱(spear phishing, 특정 개인을 겨냥한 맞춤 피싱)은 위의 패턴과 다르다. 발신자 도메인도 정교하게 위조하고, 실제 업무 맥락을 반영한다. 이 수준에서는 하드웨어 보안 키(YubiKey 등)를 쓰는 FIDO2 인증이 사실상 유일한 방어다. 피싱 사이트에 비밀번호를 입력해도 보안 키가 도메인을 검증하기 때문에 인증이 성립하지 않는다.

결론

AI가 피싱의 문턱을 낮췄다. 어색한 한국어, 이상한 호칭, 맞춤법 오류 — 이런 단서가 사라졌다.

하지만 AI가 바꾸지 못한 게 있다. 피싱은 여전히 가짜 링크를 눌러야 작동하고, 가짜 도메인을 써야 하고, 긴급성을 압박해야 한다. 이 세 가지 구조는 기술이 아무리 발전해도 바뀌지 않는다.

발신자 → 링크 → 압박. 3초면 된다.