How can I tell if a video call is a deepfake if the person looks completely real?

Deepfakes often show subtle artifacts: unnatural blinking patterns, misaligned lip-sync during side angles, skin texture that looks too smooth or plastic, inconsistent lighting on the face versus background, or jarring transitions when the person moves their head quickly. Use dedicated deepfake detection software like Microsoft Video Authenticator, which analyzes digital fingerprints in video files. Most importantly, if someone calls you with an urgent request, hang up and call them back at a known number—no AI video can intercept an outbound call from your phone.

Can AI phishing bypass my company's email security system?

Advanced AI phishing can partially bypass some security measures because it uses legitimate authentication protocols and personalizes content in ways that appear normal to content filters. However, no AI phishing bypasses proper MFA implementation. Even if scammers access your email credentials, they cannot access your account if your MFA requires a hardware security key or authenticator app that only you control. Email security also improves dramatically when companies implement strict DMARC policies that reject unauthenticated emails claiming to be from your domain.

I think I clicked a phishing link and entered my password. What should I do immediately?

Change your password from a different device (not the computer where you clicked the link) using a secure network, then contact your IT security team or bank immediately—before the scammers use your credentials. Enable MFA on your account right away if it wasn't already active. Monitor your accounts for unauthorized activity and consider freezing your credit with the three major bureaus (Equifax, Experian, TransUnion) if the attack involved financial information or if you suspect identity theft components.

How can my company prevent AI-powered phishing attacks targeting our employees?

Organizations should implement strict email authentication (SPF/DKIM/DMARC), mandatory hardware security key-based MFA for all employees, regular phishing simulation training that includes AI scenarios, and real-time threat detection systems that flag unusual behavioral patterns. Additionally, establish clear internal protocols where urgent financial requests always require out-of-band verification, and educate employees about verifying requests through established channels rather than using contact information from the suspicious message itself.

Is there a way to protect myself if a scammer clones my voice or creates a deepfake of me?

Register your voice and facial biometrics with fraud prevention services that create authenticated profiles, which can help trusted contacts identify legitimate versus fraudulent communications. Limit the amount of video and audio content you share publicly on social media and YouTube, as this is the primary training data scammers use for AI synthesis. Advise your family and close contacts to use an established verification method before responding to any urgent requests, and consider registering with the FBI's IC3 (Internet Crime Complaint Center) if you believe your identity has been cloned for fraud purposes.

매우 높음 평균 피해액: $5,000 일반적 기간: 1-7 days

AI 기반 피싱: 사기꾼들이 AI로 당신을 타겟하는 방법

AI 기반 피싱은 2024년 부상하는 가장 정교한 사기 위협 중 하나입니다. 일반적인 대량 이메일에 의존하는 전통적인 피싱과 달리, AI 기반 공격은 소셜 미디어 프로필, 이전 통신 기록, 개인 정보를 분석하여 매우 설득력 있는 개인화된 메시지를 만듭니다. 사기꾼들은 머신러닝 알고리즘을 사용하여 신뢰할 수 있는 연락처의 딥페이크 영상을 생성하고, CEO나 가족 구성원의 음성을 합성하며, 정확한 로고, 용어, 심지어 데이터 유출에서 획득한 내부 참조 번호까지 포함하는 은행 통신 방식을 완벽하게 모방한 이메일을 작성합니다. FBI는 2024년 상반기에 AI 지원 피싱 시도가 350% 증가했으며, 피해자당 평균 손실액이 5,000달러(약 650만 원)이고, 일부 CEO 사칭 변종은 100,000달러(약 1억 3천만 원)를 초과했다고 보고했습니다. 이러한 공격은 일반적으로 1~7일 내에 실행되며, 긴급성 전술과 감정 조작을 결합합니다. AI 피싱이 특히 위험한 이유는 많은 전통적인 보안 조치를 우회하기 때문입니다. 합법적인 도메인 구조를 모방하기 때문에 이메일 인증 검사를 통과하고, 스팸으로 인식되지 않도록 내용을 개인화하며, 반박할 수 없어 보이는 딥페이크 증거를 생성합니다.

주요 수법 식별 방법 자신을 보호하는 법 실제 사례 자주 묻는 질문 신고 채널

주요 수법

• AI는 LinkedIn 프로필, Instagram 히스토리, 이메일 메타데이터를 분석하여 직책, 상사 이름, 최근 프로젝트, 통신 패턴을 파악한 다음, 실제 동료들만 알 수 있는 구체적인 세부 정보를 참조하는 초개인화된 피싱 이메일을 생성합니다.
• 사기꾼들은 딥페이크 영상 기술을 배포하여 CEO, HR 담당자, 은행 관리자의 설득력 있는 영상을 만들어 긴급한 송금이나 비밀번호 재설정을 요청하며, 공개 영상에서 추출한 일치하는 표정, 말씨 패턴, 사무실 배경을 포함합니다.
• 음성 합성 AI는 신뢰할 수 있는 연락처의 정확한 음성 특성, 억양, 말 패턴을 복제하여 전화 기반 피싱을 가능하게 하고, 피해자가 시간이 촉박한 '긴급 상황'에서 익숙한 목소리로 민감한 정보를 요청하는 전화를 받게 합니다.
• 머신러닝 모델은 합법적인 은행이나 회사의 이메일 템플릿, 브랜딩, 보안 경고, 바닥글 정보를 복제하며, 실제 최근 거래 기록까지 포함하여 신뢰성을 높입니다.
• AI 챗봇은 피해자와 현실감 있는 다중 턴 대화에 참여하여 라포를 형성하고 자격증을 점진적으로 추출하며, 단일 메시지에서 명백히 의심스러운 요청을 하지 않습니다.
• 사기꾼들은 AI를 사용하여 조직의 설계 기준과 일치하는 가짜이지만 그럴듯한 직원 ID, 보안 배지, 내부 문서를 생성하여 거짓 권한 주장을 합법적으로 보이게 합니다.

식별 방법

CEO나 관리자로부터 긴급 조치(비밀번호 재설정, 송금, 자격증 확인)를 요청하는 완벽한 브랜딩과 구체적인 프로젝트 참조가 포함된 이메일을 받지만, 발신자의 실제 이메일 주소가 'com' 대신 'c0m'이나 유사한 도메인처럼 미묘한 차이를 보입니다.
신뢰할 수 있는 연락처로부터의 화상 통화나 녹음된 메시지가 타이밍이나 입술 싱크에서 약간 어색하고, 부자연스러운 일시 정지, 로봇 같은 눈 움직임, 또는 일반적인 설정과 일치하지 않는 비정상적인 조명이 있습니다.
은행의 사기 예방팀이라고 주장하며 실제 계좌 번호와 최근 거래 세부 정보를 사용하는 전화를 받지만, 실제 은행이 절대 요청하지 않을 민감한 정보를 요청합니다.
내부 IT 또는 HR 담당자로부터의 이메일이 회사의 정확한 형식과 로고를 사용하지만 '계정 확인' 또는 '신원 확인'을 위해 링크를 클릭하도록 요청하며, 특히 존재하지 않는 보안 사건을 둘러싼 인위적인 긴급성을 만듭니다.
화상 통화에서 사람의 배경, 의류, 환경이 LinkedIn 프로필이나 회사 웹사이트의 공개 정보와 정확히 일치하여 거의 무대 위에 있거나 CGI로 렌더링된 것처럼 보입니다.
메시지 스레드가 너무 완벽한 자연스러운 대화를 보여주는데—비정상적인 정확성으로 최근 삶의 사건을 참조하거나, 완벽한 타이밍으로 내부 농담을 사용하거나, 당신이 표현하기 전에 당신의 반박을 예상합니다.

자신을 보호하는 법

모든 이메일, 뱅킹, 재무 계정에 다중 요소 인증(MFA)을 구현하고 SMS 코드보다 더 어려운 인증자 앱을 사용하여 AI 기반 공격에서 사기꾼이 가로채기 어렵게 합니다.
대역외 검증 프로토콜을 설정합니다. 임원이나 금융 기관으로부터 긴급 요청을 받으면, 항상 의심스러운 메시지에서 제공된 링크나 번호가 아닌 독립적으로 찾은 전화 번호로 콜백을 하며, 절대 클릭하거나 전화하지 않습니다.
Google Lens나 전문 딥페이크 감지 소프트웨어와 같은 역 이미지 및 영상 검증 도구를 사용하여 의심스러운 영상을 분석한 후 진정성을 수용하고, 부자연스러운 피부 질감, 눈 움직임, 배경 오류와 같은 AI 인공물을 찾습니다.
긴급성, 시스템 오류, 즉각적인 조치 요구를 주장하는 시간이 촉박한 요청에 응하기 전에 최소 10분 동안 일시 중지하여 사회 공학 패턴을 인식하도록 자신을 훈련합니다. 합법적인 기관은 적절한 검증을 기다립니다.
회사 도메인에서 이메일 인증 표준(SPF, DKIM, DMARC)을 구성하고 이메일 클라이언트에서 인증되지 않았거나 위조된 메시지를 강조하는 엄격한 검증 플래그를 활성화한 다음, 인증된 피싱 시도를 즉시 IT 보안팀에 보고합니다.
신뢰할 수 있는 연락처(가족, 친한 동료, 재무 자문가)와 함께 개인 검증 키 또는 보안 질문을 미리 설정합니다. 긴급 요청을 받으면, 진행하기 전에 이 미리 정해진 질문에 대한 답변을 제공하도록 요청합니다.

실제 사례

소프트웨어 엔지니어가 CTO로 보이는 사람으로부터 '중대 보안 사건'으로 인한 즉각적인 비밀번호 재설정을 요청하는 이메일을 받습니다. 이메일에는 회사의 정확한 로고, 정확한 내부 프로젝트 이름, 공급업체에 영향을 미친 실제 유출을 참조합니다. 엔지니어는 링크를 클릭하고 거의 동일한 로그인 페이지에서 자격증을 입력합니다. 몇 시간 내에 사기꾼들은 회사의 소스 코드 저장소에 접근하여 회사에 50,000달러(약 6,500만 원)의 몸값을 요구합니다.

CFO가 CEO로 보이는 사람으로부터 화상 통화를 받아 '시장 개장 전에 인수를 마치기 위해' 85,000달러(약 1억 1천만 원)의 긴급 송금을 요청합니다. 'CEO'는 완벽한 얼굴 인식, 일치하는 정장과 사무실 배경, 이사회 구성원을 이름으로 참조합니다. CFO는 실제 CEO가 다른 시간대에 있었고 이 거래에 대해 전혀 알지 못한다는 것을 깨닫기 전에 일반적인 은행 채널을 통해 송금을 승인합니다.

HR 관리자가 상사로부터 직원의 긴급 대출 요청을 처리하고 7,500달러(약 975만 원)의 송금을 신속히 처리하도록 요청하는 일련의 자연스러운 문자 대화를 받습니다. 대화에는 최근 회사 과제에 대한 공유 참조와 심지어 상호 연결의 최근 승진에 대한 언급까지 포함됩니다. 관리자는 요청을 처리하지만, 피해자 직원이 은행 세부 정보를 '처리'하기 위해 제출하도록 요청하는 동일한 AI 생성 피싱 공격을 받았다는 것을 발견합니다.

자주 묻는 질문

사람이 완전히 현실처럼 보일 때 화상 통화가 딥페이크인지 어떻게 알 수 있습니까?

딥페이크는 종종 미묘한 인공물을 보여줍니다. 부자연스러운 깜빡임 패턴, 옆각에서 입술 싱크 불일치, 너무 매끄럽거나 플라스틱 같은 피부 질감, 얼굴 조명과 배경의 불일치, 사람이 머리를 빠르게 움직일 때의 급격한 전환입니다. Microsoft Video Authenticator와 같은 전담 딥페이크 감지 소프트웨어를 사용하세요. 이는 영상 파일의 디지털 지문을 분석합니다. 가장 중요한 것은, 누군가가 긴급 요청으로 전화할 때 끊고 알려진 번호로 콜백하면, AI 영상도 휴대폰에서 발신한 전화를 가로챌 수 없습니다.

신고 채널 — 대한민국

귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.

경찰청 사이버범죄 신고시스템 (ECRM)

사이버 범죄

경찰청 사이버수사 신고. 보이스피싱·해킹·온라인사기 통합 접수.

182 방문 →

한국인터넷진흥원 KISA 118

개인정보 침해, 스팸, 해킹 등 종합상담 (24시간).

118 방문 →

금융감독원 1332

금융 감독

보이스피싱·금융사기 신고 및 피해구제 상담.

1332 방문 →

한국소비자원

소비자 보호

소비자 피해 상담 및 분쟁조정.

1372 방문 →

이 사기를 의심하시나요?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), ai 기반 피싱: 사기꾼들이 ai로 당신을 타겟하는 방법 is described at https://scamlens.org/ko/encyclopedia/ai-powered-phishing.

https://scamlens.org/ko/encyclopedia/ai-powered-phishing

여기서 시작

안전 검사

인텔리전스

도구 및 보고서

프리미엄 서비스

확장 프로그램 및 API