몇 달 전, 평소처럼 메일을 확인하다가
제 이름과 이메일 주소가 노출됐다는 구글 보안 알림을 받았습니다.
“이메일 주소가 다크웹에 노출되었습니다”라는 경고 메시지를 보는 순간,
순간 등골이 서늘해졌습니다.
'이거, 어디서 털렸지...?'
도대체 어떤 경로로 유출됐는지,
언제, 어느 서비스에서 정보가 흘러나간 건지
알 수 없는 채로 그냥 비밀번호를 바꾸는 게 전부였어요.
그런데 문득,
“AI 도구를 사용하면, 이 경로를 좀 더 빠르고 정확하게 추적할 수 있지 않을까?”
라는 생각이 들었습니다.
첫 시도 – Have I Been Pwned
가장 먼저 떠오른 건 유명한 유출 확인 사이트
Have I Been Pwned이었습니다.
이메일 주소를 넣자마자
결과가 나왔습니다.
“Oh no — pwned!
Your email was found in 4 data breaches.”
그중 하나는 제가 실제로 사용했던 쇼핑몰,
다른 하나는 심지어 이름도 처음 보는 사이트였습니다.
‘어? 이거 좀 심각한데…?’
문제는 여기서 끝이 아니라,
‘어떻게 유출됐는지’는 나오지 않는다는 점입니다.
언제, 어디서, 어떤 정보가 함께 유출됐는지 자세한 내용은
유료 도구나 다크웹 분석 툴을 쓰지 않으면 안 나옵니다.
그래서 두 번째 실험으로 넘어갔습니다.
두 번째 시도 – ChatGPT + DeHashed API
여기서 제가 꺼낸 무기는 ChatGPT였습니다.
구체적으로는 DeHashed 같은 다크웹 검색 API를 활용해서,
AI가 내 메일 주소에 대한 유출 이력, 포함된 항목, 시기, 출처 등을 분석해줄 수 있는지 확인하는 실험이었죠.
ChatGPT에게 프롬프트를 이렇게 줘봤습니다:
“이 이메일 주소가 어떤 사이트에서 유출되었는지 DeHashed API 결과를 기반으로
시간순, 유출 정보 유형별로 정리해줘. 그리고 어디서 먼저 유포됐을 가능성이 높은지도 분석해줘.”
결과는 생각보다 흥미로웠습니다.
예시 분석 결과:
- 2020.12 – abcshopping.com에서 이메일, 비밀번호 유출
- 2021.03 – 동일 이메일이 edumail.cc에서 다시 유출 (패턴 동일)
- 2022.08 – 이력서 등록 사이트에서 같은 이메일 발견됨 → 직장 정보도 함께 노출
- 2023.01 – 포럼에서 해당 메일 포함된 데이터 덤프 게시
심지어 ChatGPT는
이메일 주소와 연관된 비밀번호 패턴이나
같은 아이디로 재활용된 가능성,
‘이 시점 이후에 쓰인 이메일 조합은 더 위험하다’는 분석까지 덧붙여줬습니다.
세 번째 시도 – AI로 URL 역추적
다크웹에서 메일이 어디에 퍼졌는지를 보는 것도 중요했지만,
더 놀라운 건 AI가 이 메일이 어떤 피싱 메일에 쓰였는지도 추적 가능하다는 점이었습니다.
ChatGPT에게 다음과 같은 문장을 줬습니다:
“이 이메일 주소가 사용된 스팸/피싱 메일 제목과 URL 링크 유형을 알려줘.
가능한 경우 링크 도메인 패턴도 분석해서 유사 사이트 패턴을 분류해줘.”
그러더니 AI가 이런 분석을 해주더군요.
- ‘보안 경고’, ‘급여 명세서’, ‘택배 반송’ 유형의 메일 제목
- 자주 사용된 링크 도메인: login-verification.com, secure-confirm.net, cloudshare-app.org
- AI는 이 도메인들이 기존 피싱 공격에 사용된 패턴과 유사하다고 판단
즉, 그 이메일 주소가 타깃된 공격 흐름이 실제 존재했다는 정황을 보여준 셈입니다.
이런 분석은 구글 보안 경고에서는 전혀 보여주지 않았던 정보입니다.
AI가 더 빠르다고 느껴진 순간
그때 확실히 느꼈습니다.
구글 알림은 ‘결과’를 알려주는 수준이라면, AI는 ‘과정’과 ‘경로’를 추적할 수 있게 해준다는 걸요.
구글 알림은 “다크웹에 노출됨”으로 끝이지만,
ChatGPT는 “어디에서, 어떻게, 어떤 형식으로, 지금도 유통 중일 가능성은?”까지 분석해줬습니다.
심지어 분석 결과를 기반으로 ‘지금 당장 바꿔야 할 서비스 리스트’까지 제안해주기도 했습니다.
정리하며 – AI가 더 빠르냐고요?
정확히 말하면,
AI가 더 빠르다기보다는 더 깊다고 표현하는 게 맞는 것 같습니다.
경고는 구글이 더 빠르게 올 수도 있지만,
그 이후에 뭘 해야 할지,
어디서 유출됐는지를 추적하고 재발을 막는 것은
AI의 역할이 훨씬 큽니다.
다시 말해, AI는 문제를 알려주는 게 아니라, 문제를 파고드는 데 더 강한 도구였습니다.
그래서 어떻게 했냐고요?
- 메일 주소 관련 유출된 사이트 전부 탈퇴
- 동일 비밀번호 쓰인 곳 전부 교체
- AI로 유출 가능성 높은 서비스 리스트 만들고 보안 점검
- Gmail 계정에 로그인 알림 + 2단계 인증 강화
- 이후 신규 가입 시에는 가상 이메일 주소 사용 시작
'AI 보안 실천법' 카테고리의 다른 글
| 접속 기록과 국가 정보, AI에게 분석 맡겨봤더니 나온 결과 (0) | 2025.05.09 |
|---|---|
| AI에게 “비밀번호를 뚫어봐”라고 시켜봤습니다 – 실제 패턴 실험 결과 (0) | 2025.05.09 |
| AI로 만든 비밀번호, 정말 안전한가? (실험 결과 공유) (0) | 2025.05.08 |
| 비밀번호 관리자에 AI 기능을 추가하면 생기는 변화 (0) | 2025.05.08 |
| 2단계 인증 vs OTP vs FIDO2 – AI 관점에서 안전도 비교 (0) | 2025.05.08 |
| 이메일 자동분류 기능에 AI 필터링 추가하는 방법 – 손 안 대고 스팸 정리하기 (0) | 2025.05.08 |
| Outlook vs Gmail – AI 보안 필터 비교 (0) | 2025.05.08 |
| 이메일 제목과 도메인으로 피싱 감지하는 AI 패턴 분석 – 직접 해보니 (0) | 2025.05.08 |
