룩아웃, AI로 스미싱 정조준…‘링크 없는 피싱’도 잡는다

모바일 보안을 전문으로 하는 사이버 보안 기업 룩아웃(Lookout)이 문자 기반 피싱 공격인 ‘스미싱(smishing)’에 대응하기 위한 인공지능 솔루션 ‘스미싱 AI(Smishing AI)’를 정식 출시했다. 이번 신제품은 메시지의 표면적인 콘텐츠가 아닌 대화 맥락과 의도를 이해해 신종 스미싱 수법을 탐지하는 데 초점을 맞췄다.

스미싱 공격은 합법적인 기업이나 지인을 사칭해 수신자가 자연스럽게 개인정보나 로그인 자격 정보를 넘기도록 유도하는 방식으로 진화해 왔다. 기존 보안 시스템이 악성 링크나 발신자 불일치 등 전통적인 징후에 의존한 반면, 새로운 스미싱 공격은 링크가 전혀 없거나 회신만 유도하는 ‘링크리스(linkless)’ 형태로 진행돼 기존 방어 체계를 회피한다.

룩아웃은 이런 한계를 넘기 위해 대형 언어 모델(LLM)을 활용한 분석 엔진을 통해 메시지 문맥, 감정적 뉘앙스, 대화 구조 등을 종합적으로 해석해 사회공학적 기법을 감지한다. 예를 들어 “이 주소가 맞는지 확인해 주세요” 혹은 “급히 송금을 부탁드립니다” 같은 평범한 문장에서 사용자 압박 또는 신뢰 유도를 식별하는 식이다.

룩아웃 측은 이번 기술을 “AI로 AI에 맞서는 사례”라고 평가했다. AI로 제작된 정교한 피싱 메시지에 대항해, AI로 진위를 판단하고 사전에 차단한다는 취지다. 이와 같은 위협 분석 기술은 기존의 정형화된 시그니처 방식이 아니라, 비정형 메시지 가운데서 위험 요소를 유연하게 식별할 수 있다는 점에서 주목된다.

프라이버시에 대한 우려도 감안했다. ‘스미싱 AI’는 기본적으로 모바일 사용자 메시지를 읽고 분석해야 하지만, 이 과정은 사용자 및 보안 운영자가 모두 명확하게 동의할 경우에만 작동한다. 또한, 개인 정보는 익명화되며 분석에 활용된 메시지는 저장되지 않는다. 분석 대상도 미등록 발신자의 메시지로 제한된다.

룩아웃은 이번 제품을 단순 기능 출시 수준이 아니라, 회사의 전략적 방향성을 보여주는 전환점으로 보고 있다. 생성형 AI 확산으로 증가하는 언어 기반 위협을 예방하기 위해 AI 기반 모바일 보안체계가 어떤 진화를 거듭하고 있는지 보여주는 사례라는 설명이다.