피싱 공격, AI로 저비용·고속·정교화… FIDO “해법은 패스키” [어센티케이트 APAC]
||2026.06.02
“AI로 인해 처음으로 국가 지원 공격 수준의 역량을 낮은 비용과 빠른 속도로 활용할 수 있게 됐다. 패스키는 이러한 시도의 대다수를 막을 수 있는 기술이다.”
앤드루 시키어(Andrew Shikiar) FIDO(Fast Identity Online) 얼라이언스 최고경영자(CEO)는 2일 싱가포르 그랜드 하얏트 호텔에서 열린 ‘어센티케이트 APAC 2026(Authenticate APAC 2026)’ 키노트에서 생성형 인공지능(Generative AI)이 피싱 공격의 경제 구조를 바꾸고 있다며 이같이 말했다. AI가 피싱 공격을 저비용·고속·정교화하면서 비밀번호 중심 인증 체계의 한계가 더 커졌다는 설명이다.
어센티케이트 APAC 2026은 FIDO 얼라이언스가 주최하는 디지털 신원·피싱 저항 인증 콘퍼런스다. 아시아·태평양 지역에서 올해 처음 열린 이번 행사는 패스키, 디지털 신원, 금융·결제, AI 에이전트 시대의 인증 문제를 주요 의제로 다룬다.
AI가 피싱 비용·속도·정교함 모두 바꿔
시키어 CEO는 기존 피싱 공격을 비용, 속도, 정교함의 관점에서 설명했다. 먼저 전통적인 피싱은 대량 발송이 쉽고 비용이 낮지만, 문장이나 형식이 어색해 이용자가 의심할 여지가 있었다. 반면 정교한 사회공학 공격은 성공률은 높지만 공격 대상 분석과 메시지 설계에 시간과 노력이 필요했다. 또한 국가 지원 공격처럼 빠르고 정교한 공격은 막대한 인력과 자원이 필요한 영역이었다.
생성형 AI는 이 구도를 흔들었다. 시키어 CEO는 대형언어모델(LLM)을 활용하면 피싱 캠페인 자동화 비용이 95% 줄어들고, 개인화 수준은 200배 높아질 수 있다고 설명했다. 또 챗GPT 등장 이후 악성 피싱 이메일이 4151% 증가했다는 수치와, AI 기반 스피어피싱 공격이 훈련된 보안 전문가를 상대로도 47%의 성공률을 보였다는 사례를 제시했다.
앤드류 시키어 CEO는 “이제 전 세계 이용자들은 완벽하게 번역되고 문법적으로 자연스러운 피싱 이메일을 받게 됐다”며 “이메일이 연결하는 웹사이트도 실제와 구분하기 어려울 정도로 정교해졌다”고 말했다.
AI가 피싱 문장을 자연스럽게 만들고, 특정 개인이나 조직 상황에 맞춘 메시지를 자동으로 생성하면서 피싱은 더 이상 어색한 이메일 수준에 머물지 않게 됐다. 공격자는 채용, 결제, 배송, 업무 요청, 금융 거래, 내부 승인 등 실제 업무와 생활 맥락에 맞춘 메시지를 빠르게 만들 수 있다. 이용자들이 진짜 메일과 가짜 메일을 육안으로 구분하기가 점점 더 어려워지고 있다.
문제는 기존 인증 체계가 여전히 비밀번호와 보안질문 등 이용자가 알고 있는 지식 기반의 인증에 의존한다는 점이다. 지식 기반 인증에서는 사용자가 피싱 사이트에 속아 비밀번호나 인증 정보를 입력하면 공격자가 이를 그대로 탈취해 계정 탈취, 내부 시스템 접근, 금융 거래 승인 등으로 악용할 수 있는 위험이 있다.
비밀번호 입력 구조 줄이는 패스키
시키어 CEO는 인증 체계가 지식 기반에서 ‘소지 기반’으로 이동해야 한다고 강조했다. 소지 기반 인증은 머릿속에 기억한 비밀번호 같은 정보 대신 사용자가 가진 기기나 보안키, 암호키 등을 바탕으로 본인 여부를 확인하는 방식이다.
FIDO가 확산을 추진해 온 패스키가 대표적이다. 패스키는 비밀번호 대신 공개키 암호 기술을 활용해 사용자를 인증한다. 특히 사용자가 서비스에 로그인할 때 비밀번호를 입력하지 않고, 스마트폰이나 PC 등 개인 기기에 저장된 개인키와 생체인증·PIN 등을 활용하며 서비스 사업자는 공개키를 통해 이용자를 확인한다. 피싱 사이트에 속더라도 입력할 비밀번호 자체가 없어 탈취 위험을 줄일 수 있는 방식이다.
이 때문에 패스키는 ‘피싱 저항 인증’ 수단으로 평가된다. 피싱 저항 인증은 이용자가 가짜 사이트나 악성 링크에 속더라도 공격자가 인증 정보를 가져가 계정을 탈취하기 어렵게 설계된 인증 방식을 뜻한다. 기존 비밀번호나 문자메시지 기반 일회용비밀번호(OTP)처럼 사용자가 코드를 직접 입력하는 방식보다 피싱 공격에 강하다는 의미다.
FIDO 얼라이언스에 따르면 패스키는 2022년 도입 이후 빠르게 확산 중이다. 시키어 CEO는 현재 전 세계에서 50억개 이상의 패스키가 사용되고 있다고 밝혔다. 패스키 도입 후 로그인 성공률 93%, 로그인 관련 헬프데스크 사고 81% 감소 등의 사례도 언급했다.
이어 시키어 CEO는 패스키가 단순히 보안을 강화하는 수단에 그치지 않는다고 설명했다. 로그인 실패와 비밀번호 재설정 요청이 줄면 고객지원 비용이 감소하고, 이용자는 더 빠르게 서비스에 접근할 수 있다. 그는 “많은 금융, 전자상거래, 소비자 서비스 기업들이 패스키 기반의 로그인을 채택함으로써 기존에 비용으로 여겨지던 보안을 고객 경험과 매출 기회로 전환할 수 있었다”고 말했다.
패스키 확산은 금융 등 규제 산업에서도 빨라지는 추세다. 시키어 CEO는 이들 산업이 초기에는 패스키 도입에 신중했지만, 최근에는 전 세계 주요 지역 금융사들이 모바일뱅킹·웹서비스 로그인 수단으로 고객에게 패스키를 제공하고 있다고 설명했다.
규제·표준 논의도 패스키 확산에 영향을 주고 있다. 시키어 CEO는 미국 국립표준기술연구소(NIST)의 디지털 신원 가이드라인, 유럽의 NIS2 관련 가이던스, 싱가포르 사이버보안청(CSA), 필리핀 중앙은행 등을 예로 들며 피싱 저항 다요소 인증의 중요성이 커지고 있다고 설명했다. NIS2는 유럽연합(EU)이 주요 기관과 기업의 사이버보안 관리 의무를 강화하기 위해 마련한 지침이다.
기업 업무 환경에서도 패스키 도입이 확산되고 있다. FIDO 얼라이언스가 최근 공개한 조사에 따르면 기업의 약 70%가 패스키를 배포하고 있으며, 약 28%는 비밀번호 없는 환경으로 전환했다. 다만 상당수 조직은 여전히 기존 인증 방식을 보완 수단으로 활용하고 있어, 완전한 비밀번호 제거까지는 시간이 더 필요하다는 게 FIDO의 진단이다.
시키어 CEO는 “비밀번호와 지식 기반 인증은 가까운 미래에 과거의 것이 될 것으로 본다”며 “패스키는 웹의 기본 구조에 내장되는 방식으로 자리 잡을 것”이라고 말했다.
싱가포르=정종길 기자
jk2@chosunbiz.com
1
3
4
5
