[AI리포터]

<이미지를 클릭하시면 크게 보실 수 있습니다>

[디지털투데이 AI리포터] 오픈AI의 팀 초대 기능을 악용해 공식 이메일로 위장한 피싱 공격이 확산되면서 개인과 기업 사용자 모두에 대한 보안 위협이 커지고 있다.

25일(현지시간) IT매체 테크레이더에 따르면, 보안업체 카스퍼스키가 사기범들이 오픈AI 계정을 생성한 뒤 조직명 입력란에 악성 링크나 전화번호를 삽입하고, 팀 초대 기능을 통해 합법적인 오픈AI 이메일 주소로 피싱 메일을 발송하는 수법을 확인했다고 밝혔다. 해당 메일은 정상적인 초대 안내처럼 보여 수신자가 의심 없이 열어볼 가능성이 높다.

피싱 메일 내용은 고액 구독 갱신 알림이나 허위 혜택 안내, 성인 서비스 홍보 등으로 구성되며, 악성 링크 클릭이나 전화 연락을 유도하는 데 목적이 있다. 일부 사례에서는 이메일과 음성 사기를 결합한 비싱 방식이 활용돼 수신자에게 즉각적인 대응을 요구하는 것으로 나타났다.

카스퍼스키는 특히 기업 환경에서 위험성이 크다고 지적했다. 하나의 초대 메일로 여러 직원에게 동시에 접근할 수 있어 피해가 확산될 가능성이 높기 때문이다. 메일에 형식적 오류가 존재하더라도, 신뢰받는 플랫폼에서 발송됐다는 점이 경계심을 낮출 수 있다는 설명이다.

카스퍼스키는 출처가 불분명한 초대 메일에 대해 주의를 기울이고, 링크 클릭 전 URL 확인, 의심스러운 전화번호 회피, 다중 인증 설정과 엔드포인트 보안 강화 등을 권고했다. 이번 사례는 신뢰 기반 협업 기능도 사회공학적 공격 수단으로 악용될 수 있음을 보여준다고 강조했다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>