정용환 기자
AI에게 피싱 메일을 작성하게 하면 클릭률을 50% 이상까지 높일 수 있다는 연구 결과가 발표됐다.
연구팀은 피험자 101명을 모집해 4개 그룹으로 나눈 뒤 각 그룹에 일반적인 피싱 메일, 전문가가 작성한 피싱 메일, 인공지능이 작성한 피싱 메일, 인공지능 초안을 바탕으로 사람이 수정한 피싱 메일을 전송해 클릭률 차이를 비교했다.
인공지능 피싱 메일 작성 절차는 다음과 같다. 웹상에서 타깃에 관한 정보를 수집한 뒤 타깃별로 최적화된 피싱 메일을 작성한다. 메일에 기재된 링크가 클릭되면 공격 성공으로 간주된다. 메일 전송까지 완전 자동화되어 있어 사람이 수행하는 것보다 비용을 50분의 1까지 절감할 수 있었다고 한다.
링크 클릭률을 보면 일반 피싱 메일은 12%만이 클릭됐지만 전문가가 작성한 피싱 메일과 인공지능이 작성한 피싱 메일은 모두 타깃 54%가 링크를 클릭했다. 인공지능 초안을 사람이 수정한 하이브리드 그룹의 경우 클릭률이 56%에 달했다.
피험자에게 왜 메일이 신뢰할 수 있다고 생각했는지 설문한 결과 인공지능이 관여한 그룹에서는 피험자 40%가 개인에 대한 최적화가 이뤄졌다는 점을 이유로 들었으며 인공지능 생성 메일은 특히 개인 맞춤형 성능이 높은 것으로 나타났다.
인공지능이 메일을 생성하는 데 걸린 평균 시간은 2분 41초였으며 전문가가 메일을 작성하는 데 걸린 평균 시간은 34분이었다. 시간만으로도 13배 차이가 있으며 메일 1통당 비용 효율은 최대 50배 차이가 난다고 한다.
연구팀은 오픈AI GPT-4o 및 앤트로픽 클로드 3.5 소넷으로 피싱 메일을 탐지하는 실험도 진행했다. 다양한 유형 메일이 나열되어 있고 세로축으로는 인공지능이 평가한 의심스러움 수준이 표시되어 있다. GPT-4o는 무해한 메일 11%를 유해로 판정했을 뿐만 아니라 다양한 종류 피싱 메일을 제대로 탐지하지 못했다.
반면 클로드 3.5 소넷은 97.25% 피싱 메일 탐지에 성공했다. 인간 탐지율이 54%였던 걸 감안하면 인공지능에게 판단을 맡기는 게 피싱 메일에 걸리지 않을 가능성이 높아 보인다.
연구팀은 이번 결과를 토대로 인공지능 비용 효율이 좋기 때문에 향후 인공지능 대 인공지능 대결이 될 가능성이 높다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
