“[Web발신] 고객님의 택배가 배송 지연 중입니다. 아래 링크를 확인해주세요.”
“[국세청] 환급금 지급 대상입니다. 바로 확인하세요.”
누구나 한 번쯤은 이런 문자를 받아봤을 겁니다. 솔직히 저도 바쁠 때는 진짜 택배인 줄 알고 눌러볼 뻔한 적도 있죠. 그런데 이게 바로 ‘스미싱(SMS 피싱)’이라는 사실, 다들 알고는 있지만 링크를 누르기 전까지는 진짜인지 가짜인지 헷갈리는 경우가 많습니다.
그래서 이번에는 실제로 제가 수집한 사기 문자 링크들을 AI에게 보여주고, 과연 그 링크가 안전한지, AI는 어떻게 판단하고 분석해주는지를 실험해봤습니다.
실험 준비 – 사기 링크를 수집한 방법
먼저, 링크 수집은 아무나 쉽게 하면 안 됩니다. 테스트용으로 안전하게 진행하기 위해, **보안 커뮤니티나 공개된 피싱 URL 저장소(PhishTank, URLhaus 등)**에서 신고된 링크들을 모았습니다.
그중 한국에서 자주 쓰이는 형식을 기준으로 택배, 공공기관, 금융사칭 링크를 10개 추렸습니다.
이 링크들은 모두 실제로 누르면 악성 APK 다운로드 페이지로 연결되거나, 가짜 로그인 페이지로 유도되는 것으로 판별된 링크입니다.
사용된 단축 URL은 goo.gl, tinyurl, bit.ly, 그리고 자체 도메인 생성기까지 다양했습니다.
사용한 AI 도구 – 실시간 링크 분석기 3종
이번 실험에는 다음 세 가지 AI 기반 링크 분석 도구를 사용했습니다.
- VirusTotal with AI Heuristics – 전 세계 보안 엔진과 AI 기반 URL 분석을 종합한 플랫폼
- URLScan.io – AI 기반 시각적 웹페이지 분석과 동작 추적 기능 제공
- CheckPhish AI – 피싱 탐지 특화 AI 엔진, 실시간 시뮬레이션 제공
각 도구에 동일한 링크 10개를 입력한 뒤, 어떤 링크가 어떻게 분석되었고, 탐지 결과가 어떤지를 비교했습니다.
1️⃣ VirusTotal – AI 패턴 분석의 정석
가장 먼저 VirusTotal에 링크를 넣었습니다. 이 플랫폼은 보통 파일 검사로 많이 알려졌지만, URL 분석에도 꽤 강력한 AI가 붙어 있습니다.
10개 링크 중 9개는 **바로 ‘악성(Malicious)’**으로 표시됐고, 그 중 일부는 다음과 같은 분석 결과가 나왔습니다:
- 분석 엔진 72개 중 58개가 악성으로 분류
- 도메인 등록일이 7일 이내, DNS 서버 불일치
- 페이지 내 JavaScript에 ‘download.apk’ 자동 실행 포함
- 사용자 위치 확인 후 다른 URL로 리디렉션
AI 기반 휴리스틱 분석이 특히 돋보였던 건, 아직 등록된 정보가 부족한 신규 링크도 패턴 기반으로 ‘의심’ 상태로 분류했다는 점입니다.
예를 들어 한 링크는 "bit.ly/8kdh3"처럼 짧은 주소였지만, AI가 실제 리디렉션된 사이트의 구조를 분석하고 ‘택배사칭 패턴’과 일치한다고 경고를 띄웠습니다.
2️⃣ URLScan.io – 시각 기반 탐지력, 놀라울 정도로 정확했다
URLScan은 AI가 웹페이지의 시각적 구성, DOM 구조, 스크립트 동작 등을 분석하는 방식입니다.
여기서는 실제로 링크를 ‘열어보는 것처럼’ 스크린샷까지 생성해줍니다. AI는 그 화면의 구성 요소를 통해 피싱 여부를 판단합니다.
흥미로운 결과는 다음과 같습니다:
- 10개 중 7개는 ‘유사 금융기관 페이지 탐지’
- 로그인 박스, 로고, 개인정보 입력창의 위치가 기존 금융사 UI와 90% 이상 일치
- SSL 인증서 없음 또는 만료
- 접속 IP가 알려진 스팸/봇넷과 동일
특히 하나의 링크는 카카오뱅크를 완벽하게 흉내낸 가짜 로그인 페이지였는데, AI가 로고 픽셀 유사도와 버튼 위치 등을 기준으로 ‘100% 피싱 유사도’라는 평점을 줬습니다.
다만 완벽하진 않았습니다. 한 링크는 분석 도중 ‘Not malicious’로 분류됐지만, 실제론 악성 APK가 포함된 페이지였습니다. 아마 외형만 보고 판단했기 때문으로 보입니다. 이 부분은 AI 탐지의 한계도 분명히 보여준 사례였습니다.
3️⃣ CheckPhish – 피싱에 특화된 AI 분석기
CheckPhish는 피싱 링크에 특화된 도구로, AI가 자체 시뮬레이션을 돌려 페이지가 어떤 동작을 유도하는지 분석합니다.
결과는 매우 정밀했습니다. 예를 들어 다음과 같은 시나리오 분석이 제공됐습니다:
- 유도 입력 정보: 주민등록번호, 계좌번호, 2차 인증코드
- ‘로그인 실패’ 반복 유도 → 사용자가 다른 계정 입력 유도
- 폰트/색상/아이콘까지 유사 카피한 디자인
CheckPhish는 AI로 판단하기 어려운 비주얼 정보를 동선 중심으로 분석한다는 게 특징입니다. 즉, "이 페이지가 어떤 식으로 사용자를 속이려는지"까지 이해하고 있다는 느낌이 들었습니다.
결론: AI가 링크를 열어보지 않고도, ‘위험하다’고 말해줄 수 있을까?
실험 결과를 요약하자면 다음과 같습니다:
- AI가 패턴 기반으로 사기 링크를 상당히 잘 감지한다.
- 단축 URL이나 신규 도메인이라도 분석 가능성은 높다.
- 하지만 시각적 판단이 완벽하진 않으며, AI 역시 ‘확률적 분석’일 뿐이다.
결국, 가장 안전한 방법은 링크를 아예 누르지 않는 것이고, 확인이 필요할 경우 AI 분석기를 먼저 사용하는 습관을 들이는 것이 현명합니다.
실생활 팁: 사기 링크 의심될 때 이렇게 해보세요
- 링크가 짧거나 이상하면 VirusTotal에 먼저 붙여보세요.
- 카카오, 택배, 금융사 사칭일 경우 URLScan이나 CheckPhish에서 확인하세요.
- 절대 문자의 링크를 곧장 터치하지 마세요. 브라우저로 수동 입력하는 게 더 안전합니다.
- ‘너무 급한 말투’의 문자 = 피싱일 확률 90% 이상.
- 스마트폰에 보안 AI 앱 하나쯤은 깔아두세요.
'AI 보안 실천법' 카테고리의 다른 글
| AI가 알려주는 앱 권한 위험도 – 실시간 분석 실험 (0) | 2025.05.23 |
|---|---|
| Android vs iOS 보안, AI가 추천하는 설정 차이 (0) | 2025.05.21 |
| 스마트폰 위치 추적, AI 탐지로 방어할 수 있을까? (0) | 2025.05.19 |
| 공공 와이파이에서 AI 탐지 툴로 위협 분석해보기 (0) | 2025.05.14 |
| 악성 앱 설치 후 AI 백신 3종 비교 분석 (Vade/Avast/Bitdefender) (0) | 2025.05.12 |
| 동일한 비밀번호를 쓰면 AI가 알 수 있는 정보들 (0) | 2025.05.09 |
| 접속 기록과 국가 정보, AI에게 분석 맡겨봤더니 나온 결과 (0) | 2025.05.09 |
| AI에게 “비밀번호를 뚫어봐”라고 시켜봤습니다 – 실제 패턴 실험 결과 (0) | 2025.05.09 |
