AI 음성 스푸핑은 실제 사람(주로 관리자, 임원 또는 지원 직원)을 모방한 합성 오디오를 악의적으로 생성하여 사기를 저지르거나 자격 증명을 도용하거나 민감한 리소스에 액세스하는 것을 말합니다.
기존의 비싱(보이스 피싱)과 달리 최신 공격은 머신 러닝과 딥페이크 기술을 활용하여 공개적으로 사용 가능한 최소 30초 분량의 오디오에서 음성 패턴을 복제합니다. 공격자는 이러한 실제와 같은 모조품을 실시간 전화 통화나 녹음된 메시지에 사용하여 그 어느 때보다 더 믿을 수 있고 피해를 주는 소셜 엔지니어링을 만들어냅니다.
원격 근무의 급증, 디지털 회의의 사용 증가, 경영진의 목소리가 온라인에 많이 노출되면서 위협 행위자들이 활동하기 좋은 환경이 조성되었습니다. 오디오 딥페이크는 특히 스트레스가 많거나 긴급하게 들리는 시나리오에서 사람의 의심을 우회할 수 있을 만큼 충분히 설득력이 있습니다. 배경에 대한 자세한 내용은 McAfee를 참조하십시오 : 딥페이크 음성 사기.
인공 지능에 대한 접근성이 높아지면서 공격자들은 스크립트화된 대화형 음성 봇을 배포하여 고도로 표적화된 공격을 수행하고 있습니다. 최근 사례 연구에서는 공격자가 CEO나 재무 책임자를 사칭하여 직원들에게 송금을 유도하거나, 클레임을 공개하거나, 보안 검사를 우회하도록 유도하는 사례를 강조합니다. 한 유명한 사례로, 한 에너지 회사의 영국 자회사는 긴급한 송금을 요청하는 과정에서 사기범들이 AI로 생성된 음성을 사용하여 CEO를 사칭한 후 24만 3,000달러의 손실을 입었습니다. 모든 요청을 확인할 수 있는 전담 리소스가 부족한 중소기업은 점점 더 많은 위험에 노출되고 있습니다. 이 기술은 크리덴셜 피싱, 음성 메일 수집, 통화 라우팅 시스템 조작에도 사용됩니다. 음성 기반 소셜 엔지니어링으로 인해 고객 대화나 민감한 데이터가 유출되면 법적 및 규정 준수 위험이 발생합니다. 더 자세한 인사이트와 예방 사례는 Right-Hand를 참조하세요: 딥페이크 비싱 2025 및 CrowdStrike: 비싱 위험.
기업은 AI 음성 스푸핑에 대응하기 위해 사전 예방적인 접근 방식을 채택해야 합니다. 첫째, 민감한 정보나 거래와 관련된 모든 음성 기반 요청에 대해 발신자 번호에만 의존하지 말고 명확한 확인 프로세스를 수립하고, 중요한 작업에는 알려진 보조 연락 방법을 사용하세요. 긴급한 상황, 기관 사칭, 서면 절차를 우회하는 요청 등의 수법을 인식하도록 직원을 교육하세요. 음성 사기 방지 솔루션과 의심스러운 통화에 플래그를 지정하거나 오디오를 분석하여 딥페이크 특성을 파악하는 이상 탐지 도구를 배포하는 것을 고려하세요. 다중 승인 및 독립적인 콜백 확인과 같은 정책 변경은 위험을 크게 줄일 수 있습니다. 기업은 최신 법률 프레임워크를 업데이트하고 해당 분야 내 위협 인텔리전스를 공유해야 합니다. 보다 실용적인 방어 방법은 Group-IB: 비싱 방지 및 블루 고트 사이버에서 설명합니다: 비싱 수법에 설명되어 있습니다.
스푸핑이 다른 산업의 비즈니스에 미치는 영향에 대해 자세히 알아보려면 스푸핑의 기본 사항 및 예방 방법에 대한도움말 문서를 참조하세요 .