AI 시대의 발전과 함께 보안 위협도 한층 교묘해지고 있습니다.
이번엔 프레젠테이션 생성 도구 ‘Gamma’가 사이버 공격자들의 피싱 수단으로 악용되었습니다.
보안 기업 Abnormal Security의 최신 보고서에 따르면,
공격자는 Gamma를 이용해 실제 기업 로고와 문서를 활용한 프레젠테이션을 생성하고,
이를 통해 피해자를 가짜 Microsoft 로그인 페이지로 유도하고 있습니다.
💻 Gamma란?
Gamma(감마)는 사용자가 슬라이드를 직접 만들지 않아도, AI가 알아서 디자인하고 요약해주는 프레젠테이션 도구입니다.
그 자체는 전혀 악성 도구가 아니지만, 공격자는 이를 교묘히 활용해 신뢰감을 조성합니다.
⚠️ 공격 흐름: ‘첨부파일’처럼 보이는 이미지에서 시작
📧 피싱 메일
공격자는 탈취된 실제 이메일 계정을 사용해 대상자에게 메일을 보냅니다.
메일에는 다음과 같은 특징이 있습니다:
- 제목: “[회사명] 보안 문서 공유”
- 본문: “첨부된 PDF를 검토해주세요.”
- 첨부된 PDF는 사실 이미지일 뿐
🔗 클릭하면 열리는 Gamma 프레젠테이션
이미지를 클릭하면 Gamma 공식 도메인에서 열린 프레젠테이션 페이지로 이동합니다.
- 로고, 브랜드 컬러 등 실제 기업의 정체성을 위장
- “보안 문서 확인하기” 등의 CTA(콜투액션) 버튼 포함
- 링크에 회사 이름을 포함한 서브도메인 사용 → 신뢰도 증가
🧩 클릭 시 최종적으로 연결되는 가짜 로그인 페이지
프레젠테이션 속 버튼을 클릭하면 다음과 같은 순서를 따릅니다:
- Cloudflare 봇 감지 페이지 표시 (가짜)
- 마이크로소프트 SharePoint 로그인 화면 (위장)
- 아이디/비밀번호 입력 시 실시간 유효성 체크→ 틀리면 “비밀번호가 잘못되었습니다”처럼 동작
🧠 AiTM 공격 + LOTS 전략
이번 공격은 단순한 피싱이 아닌, 고급 기법이 결합된 Adversary-in-the-Middle (AiTM) 유형입니다.
- MFA 토큰 탈취 가능
- 로그인 세션 하이재킹 가능
- 실제처럼 작동하는 UX 시뮬레이션 → 경계심 완화
또한, LOTS (Living-Off-Trusted-Sites) 전략으로
공격자가 정상 서비스(Gamma 등)를 활용해 악성 콘텐츠를 호스팅하고 있어
일반적인 피싱 탐지 솔루션으로는 탐지하기 어렵습니다.
👀 왜 피해자가 속을 수밖에 없나?
| 특징 | 일반 피싱 | Gamma 기반 피싱 |
| 출발 이메일 | 랜덤 메일 주소 | 실제 사용 중인 이메일 계정 |
| 링크 도메인 | 의심스러운 URL | 실제 Gamma 공식 URL |
| 첨부파일 | HTML, EXE 등 | "PDF처럼 보이는 이미지" |
| 브랜드 요소 | 없음 | 실제 로고와 브랜드 사용 |
| 로그인 UX | 조잡 | Microsoft 페이지 정교 재현 + CAPTCHA |
Gamma 페이지까지는 전혀 악성 의심이 없고,
클릭한 후에야 조심해야 한다는 사실이 이미 늦을 수도 있죠.
🛡 보안팀이 할 수 있는 대응 방안
✅ 1. LOTS 기반 피싱 탐지 룰 강화
- Gamma, Canva, Notion 등 외부 생성 콘텐츠 접근 시 리다이렉션 URL 분석 필요
✅ 2. MFA + 세션 관리 철저
- AiTM 공격은 단순한 인증 우회가 아닌 세션 탈취까지 가능
- 사용자의 로그인 세션 유효 기간 제한 및 비정상 로그인 이력 모니터링
✅ 3. 이메일 도메인 출처 + SPF/DKIM 분석
- 발신 도메인이 합법적일지라도, 실제 유저 정보와 일치하는지 검증
✅ 4. 사용자 교육 강화
- “PDF를 클릭했는데 웹사이트가 열리면 의심하라”
- “보안 문서는 OneDrive 또는 MS Teams 등 내부 시스템으로만 공유”
✅ 5. Gamma, Canva 등 서비스 제공 업체 대응
- 자동 콘텐츠 분석, 위협 링크 필터링, 외부 사이트 리다이렉트 시 경고 배너 제공 등
SaaS 서비스 제공자들의 협력이 필요합니다.
🧠 결론: 이제는 AI 기반 도구도 피싱 도구다
이번 캠페인은 기존 피싱 메일의 단점을 모두 보완하고,
AI 기반 프레젠테이션 도구를 정교한 미끼로 활용해 사용자의 신뢰를 얻는 전략을 보여줍니다.
"정상 서비스 + 정교한 심리 유도 + MFA 우회"
→ 더 이상 피싱은 초보적인 공격이 아닙니다.
'CyberSecurity > Security🔐' 카테고리의 다른 글
| ⚠️ AI 환경의 ‘기본값’ NVIDIA, 취약점 악용 가능성 커져 (0) | 2025.04.17 |
|---|---|
| 🔓 CVE-2025-24054: 작지만 치명적인 NTLM 해시 유출 취약점 (0) | 2025.04.17 |
| 🕵️ UNC5174, 다시 수면 위로…이번엔 ‘파일리스’와 WebSocket으로! (1) | 2025.04.17 |
| 🚨 새로운 파일리스 공격 캠페인, 보안 연구진이 발견하다 (2) | 2025.04.16 |
| ⚠️ 인기 HTTP 라이브러리 Axios, 심각한 SSRF 취약점 발견! (6) | 2025.04.15 |