이메일 보안 기업 애브노멀AI(Abnormal AI)는 최근 보고서를 통해 VEC 공격이 기술적 취약점이 아닌 사람의 신뢰를 악용하는 방식으로 기존 방어 체계를 뚫고 있다고 진단했다.
보고서에 따르면 대기업 직원의 72%가 링크나 첨부 파일이 없는 사기성 벤더 이메일에 응답하거나 전달한 경험이 있는 것으로 나타났다. VEC 공격은 지난 1년간 전 세계적으로 3억 달러 이상의 도난 시도를 유발했으며, 기존의 BEC(Business Email Compromise)보다 90% 더 높은 참여율을 보였다.
보고서는 특히 유럽·중동·아프리카(EMEA) 지역이 특히 위협에 직면해 있다고 분석했다. EMEA 지역 직원들은 VEC 이메일과 가장 많이 상호 작용했지만, 해당 사기 이메일을 보고한 비율은 0.27%에 불과해 전 세계에서 가장 낮은 신고율을 기록했다. 가장 취약한 산업군은 통신 분야로 직원의 71.3%가 VEC 이메일에 반응했으며, 에너지 및 유틸리티 산업군이 56.25%로 그 뒤를 이었다.
애브노멀AI의 CIO 마이크 브리튼은 “이메일 기반의 사회공학적 공격이 그 어느 때보다 정교하고 효과적”이라며 “공격자는 합법적인 벤더 이메일 대화 스레드를 탈취해 정교하게 위장한 메시지를 생성하고, 이를 통해 기존 방어체계를 피해간다. 직원들이 해당 이메일을 진짜라고 믿는 만큼 응답률이 놀라울 정도로 높다”라고 설명했다.
보고서는 EMEA 지역 내에서도 특히 영업팀의 신입 직원이 VEC 이메일의 86%에 반응해 가장 위험한 상황이라고 분석했다. 해당 지역에서 일반적인 BEC 공격은 기업이 4.22%를 탐지하고 신고하는 데 비해, VEC 공격은 98.5%가 신고되지 않은 채 재무 손실이 발생한 이후에야 발견되는 경우가 많았다. 이는 아시아 태평양(APAC) 지역에서 BEC가 여전히 주요 위협으로 작용하며, 44.4%의 직원 참여율을 보인 것과는 대조적이다.
QKS그룹의 애널리스트 수짓 두발은 “생성형 AI의 등장으로 VEC 공격의 정밀도가 매우 정밀하고 치밀하게 진화했다”라며 “이제는 누구나 알아차릴 수 있는 피싱 메일이 아닌, 다단계 인증과 다양한 보안 조치를 우회하는 고도로 정제된 비즈니스 커뮤니케이션”이라고 평가했다.
AI가 공격 복잡성 증폭
전통적인 피싱과 달리 VEC 공격은 실제 기업 이메일 스레드를 모방하는 방식으로 이뤄진다. 공격자는 AI를 이용해 이메일의 어조, 브랜드, 대화 기록을 정밀하게 재현한다. 탐지 시스템이 인식할 만한 징후가 없어 필터를 쉽게 우회하며, 심지어 신중한 직원들조차 속일 수 있다. 특히 인재 시장이 위축된 상황에서 직원들이 지급 지연 등의 문제를 빠르게 해결하려다 이런 이메일에 쉽게 반응하는 경향이 나타나고 있다.
두발은 “다단계 인증 같은 기존 보안 수단이 이러한 AI 기반 공격에는 효과를 발휘하지 못하고 있다”라며 “단순히 계정 자격 증명 검증을 넘어, 심리적 조작까지 대응할 수 있는 보안 전략 전환이 필요하다”라고 강조했다.
또한 그는 “AI 기반 VEC 공격은 기존의 경계 보안만으로는 차단할 수 없다”며, 조직이 세 가지 핵심 대응 체계를 도입해야 한다고 강조했다. 구체적으로는 “미세한 이상 징후를 감지할 수 있는 AI 기반 이메일 분석 시스템, 실시간 벤더 검증 절차, 기술적 위협뿐 아니라 사회공학적 수법까지 인지할 수 있도록 재교육받은 직원이 필요하다”라고 설명했다.
VEC 공격의 전체 발생 건수는 피싱이나 랜섬웨어보다 적지만, 성공률과 재무적 피해 가능성은 훨씬 더 크다. 브리튼은 “무기화된 AI는 신뢰받는 벤더를 흉내 내는 과정을 그 어느 때보다 쉽게 만든다. 수동적인 보안 교육에서 벗어나, 이메일이 받은편지함에 도달하기 전에 위협을 차단할 수 있는 선제적 방어 전략을 도입해야 한다”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: “도난 시도만 3억 달러 이상”··· AI 기반 ‘벤더 이메일 손상 공격’에 주목할 이유
Source: News