요즘 들어 이메일 제목만 봐도 불안해지는 날이 많습니다.
“계정 정지 예정”, “보안 알림”, “첨부파일 확인”…
대부분 피싱이란 걸 알면서도, ‘혹시 진짜면 어떡하지?’ 싶어서 클릭 직전까지 고민하게 되죠.
그래서 저는 최근, 메일 제목과 발신자 이메일만 가지고 피싱 여부를 판별할 수 있는 AI 패턴이 있는지 직접 실험해봤습니다.
기대했던 것보다는 단순했고,
그렇다고 완전히 무시할 것도 아닌, 묘한 결과들이 나왔습니다.
“이 제목 진짜 많이 보는데?” 싶은 순간들
일단, 메일함과 스팸함을 다 뒤졌습니다.
최근 3개월 동안 받은 의심스러운 제목들을 쭉 모아보니,
패턴이 보이기 시작하더군요.
- “계정 일시 정지 안내”
- “[긴급] 보안 확인 요청”
- “2024년 급여 명세서 (암호: 1234)”
- “택배 반송 안내 드립니다”
- “구글 계정 비정상 로그인 발생”
특징이 뭐냐면, 어디서 많이 본 말투예요.
회사 다니는 사람이라면 익숙할 표현들이고,
오히려 그래서 더 무심코 열어보게 됩니다.
ChatGPT에게 그냥 던져봤습니다
이걸 가지고 ChatGPT에게 물어봤습니다.
“이 제목들이 피싱 메일일 가능성이 있는지 분석해줘.”
결과요? 꽤 똑똑합니다. 말이 됩니다.
ChatGPT가 잡아낸 포인트는 대충 이렇습니다:
- 위기감 조성: “정지”, “긴급”, “차단” 같은 단어 반복
- 행동 유도형 제목: ‘지금 확인하세요’, ‘파일 열기’ 같은
- 모호한 출처: 발신자는 없고, [회사명]만 강조된 패턴
- 비정상 형식: 날짜, 암호, 대괄호로 감싼 제목들이 많음
하나하나 보면 별거 아닌데,
이게 연달아 반복되니까 ‘이건 의도적인 설계’라고밖에 안 느껴졌습니다.
도메인 분석 – 진짜같은 가짜들
그 다음은 발신자 이메일 주소.
진짜 이메일 주소는 보통 @naver.com, @kakaopay.com처럼 짧고 명확하잖아요?
근데 피싱 메일은 이런 걸 씁니다:
- @naver-security-check.net
- @kakaopay-alert.info
- @toss-confirm.co
- @pay-admin.kor-mail.org
처음 보면 ‘어, 나 이런 데서 메일 받아본 적 있나?’ 싶습니다.
근데 자세히 보면 진짜 주소와 5%쯤 다릅니다.
ChatGPT도 이 부분을 정확히 짚어냈습니다.
“유사 도메인을 사용하는 피싱 메일이 많으며,
공식 기업 도메인과 비교해 확인하는 것이 좋다.”
이건 정말 맞는 말입니다. 실제로 비교해보면 바로 티 나거든요.
직접 수치 정리해보니 더 뚜렷해짐
제가 수집한 제목 30개 중에서,
가장 많이 쓰인 단어를 체크해봤습니다.
완전 수작업으로요.
- 확인 – 19회
- 계정 – 16회
- 긴급 – 12회
- 첨부 – 9회
- 비밀번호 – 7회
- 명세서 – 6회
- 차단 – 5회
결국 핵심은 ‘불안 + 조치 요청’입니다.
‘문제가 생겼으니 뭔가 해야 한다’는 심리 유도가 대부분이에요.
그걸 제목에서부터 압박해오는 거고요.
중요한 건 ‘AI가 알려주는 기준’이 아니라, ‘내가 감 잡는 능력’
이런 분석 결과를 보고 있자니, 딱 하나 느낀 게 있습니다.
AI가 알려주는 패턴도 분명히 도움은 되는데,
결국 중요한 건 나 스스로 이질감을 느끼는 직감이더라고요.
예를 들어,
‘비정상 접근이 감지되었습니다’라는 말은
내가 로그인을 자주 바꾸거나 VPN을 쓰면 얼마든지 나올 수 있는 말입니다.
그걸 진짜 보안센터에서 보낸 건지,
아니면 그럴싸하게 만든 건지는 AI가 알려주기 전에
내가 먼저 한 번쯤은 “이거 좀 이상한데?” 싶어야 돼요.
마무리 – 제목만 보고 감 잡는 훈련이 필요하다
요약하자면 이렇습니다:
- 피싱 메일 제목은 비슷한 단어를 돌려쓰며,
- 불안감을 자극해서 클릭을 유도합니다.
- 도메인은 진짜같은 가짜입니다.
- 공식 기업 주소랑 95% 비슷해서 처음 보면 헷갈립니다.
- ChatGPT나 AI 도구는 그 구조를 잘 잡아주긴 하지만,
- 최종 판단은 결국 사람 몫입니다.
이제부터라도 새로운 메일을 받을 때,
제목을 천천히 읽어보세요.
정말 이상한 단어 하나,
정체불명의 도메인 하나가 눈에 들어올지도 모릅니다.
그 감이, 보안을 지키는 첫 번째 무기일지도 모릅니다.
'AI 보안 실천법' 카테고리의 다른 글
| AI가 알려주는 내 정보 유출 경로 – 구글 알림보다 빠를 수 있을까? (0) | 2025.05.08 |
|---|---|
| 2단계 인증 vs OTP vs FIDO2 – AI 관점에서 안전도 비교 (0) | 2025.05.08 |
| 이메일 자동분류 기능에 AI 필터링 추가하는 방법 – 손 안 대고 스팸 정리하기 (0) | 2025.05.08 |
| Outlook vs Gmail – AI 보안 필터 비교 (0) | 2025.05.08 |
| 기업 사칭 이메일, AI는 어떻게 구분할까? (0) | 2025.05.07 |
| 의심스러운 첨부파일, AI 백신으로 열어봤더니 (0) | 2025.05.07 |
| Gmail 보안 설정 완벽 가이드 – AI 추천 기반 설정법 (0) | 2025.05.07 |
| ChatGPT로 이메일 내용 분석으로 피싱 여부를 구별할 수 있을까? (0) | 2025.05.07 |
