피싱, 로맨스 스캠. 왜 속는 걸까? - 실제 사회공학적 기법 사례와 대처법

교수님한테 메일 답장을 빨리 받고 싶으면 메일 제목을 성적 정정 문의 대신 대학원 진학 상담으로 바꿔보내라는 이야기를 들은 적 있나요? 물론 농담처럼 떠도는 이야기지만 꽤 정확한 원리를 이용한 것인데요. 학생들이 특정 시기에 공통적으로 많이 보내는 메일이 아니라, 평소 교수님의 관심 주제를 제목으로 보내는 것이죠. 교수님의 특성, 교수님의 심리를 이용한 방법이라고 볼 수 있어요.

유사한 사이버 공격이 있다면 어떨까요? 해킹은 기술적인 부분이 당연히 필요하지만, 사람의 심리를 이용하면 비용도 효율적이고 공격의 성공 확률도 높아집니다.
이번 게시글에선 사람의 심리를 이용하는 사회공학적 기법이 실생활에서 어떻게 이뤄지는지, 나도 이런 위험에 노출될 수 있는지, 대처 방법까지 확인해 보겠습니다.

사회공학적 기법이란?

사회공학적 기법(Social Engineering)은 시스템이 아니라 사람을 공략해요. 사람의 심리를 이용해 시스템에 침입하는 등 원하는 행동을 하도록 유도하는 기법을 의미합니다. 아무리 방화벽이 견고하고 소프트웨어가 최신 버전이어도, 내부 직원 한 명이 공격자의 전화에 응하는 순간 그 모든 방어가 무용지물이 되는 것이죠.

사회공학적 기법을 이용한 공격 방식은 다양하지만 작동하는 원리는 하나예요. 권위 있는 대상의 요청은 따른다, 급한 상황에서는 확인을 생략한다, 아는 사람의 부탁은 들어준다 등 사람들이 갖고 있는 심리를 그대로 이용하는 겁니다. 악성코드나 소프트웨어 취약점은 패치할 수 있지만 사람의 심리는 쉽게 업데이트되지 않아요. 그렇기에 오늘날 대부분의 해킹은 온전히 기술적으로만 이루어지기보다 사회공학적 기법을 기반에 두고 진행합니다.

실제 사회공학적 기법 사례, 나라면 어떻게 했을까?

실제 사회공학적 기법으로 인해 발생한 사례를 소개할게요.
나였다면 이 상황에서 어떻게 했을지 생각하면서 읽어보세요!

상황 1. 모바일 청첩장

‘ 우리 결혼해요! 소중한 분들을 초대합니다. ’

문자 메시지로 모바일 청첩장 링크를 받았습니다. 학교 동기나 지인의 번호로 왔다면, 별다른 의심 없이 링크를 누르게 되죠.

그 순간 악성 앱이 설치되거나, 저장된 연락처, 문자, 금융 정보가 빠져나갈 수 있습니다. 심각한 경우 내 번호로 동일한 스팸 문자가 지인 전체에게 다시 발송되기도 해요.

이런 수법의 피해는 생각보다 광범위합니다. 과학기술정보통신부·KISA 집계 기준, 청첩장 및 부고 문자를 사칭한 스미싱은 2023년 약 6만 건에서 2024년 약 36만 건으로 1년 만에 6배 증가했습니다. 같은 기간 피해 금액은 546억 원으로, 2020년(11억 원) 대비 약 50배입니다. (참고 링크)

청첩장과 부고 문자가 가진 맥락 때문에 가능한 일인데요. 아는 사람한테서 온 연락이고, 확인해야 하는 내용이고, 늦으면 예의가 없는 것처럼 느껴지기도 합니다. 경계심이 작동하기 전에 손이 먼저 움직이는 것이죠.

여기엔 두 가지 심리 기제가 작동합니다. 하나는 친숙함이에요. 아는 사람의 번호로 실제로 있을법한 상황이라면 이게 공격일 수도 있다는 생각이 들지 않습니다.
다른 하나는 습관적 반응이에요. 모바일로 청첩장, 부고장을 받으면 바로 눌러서 확인하는 것이 자연스러워요. 수상한 링크를 클릭하는 게 아니라 소식을 확인한다고 생각하게 됩니다.

상황 2. 딥페이크 임원 사칭

평소 알고 지내던 동료와 회사 임원들이 화상 회의로 사정을 설명하며, 긴급 내부 결제가 필요하다고 말한다면 의심할 수 있을까요?

2024년 초, 영국 엔지니어링 기업 Arup의 홍콩 지사에 이메일 한 통이 도착했습니다. 본사에서 긴급 기밀 자금 이체가 필요하다는 내용이었고, 재무팀 직원은 전형적인 피싱처럼 보인다고 판단해 화상 회의를 요청했어요.

화면에 나타난 건 평소 알고 있던 CFO와 동료 임원들이었습니다. 얼굴, 목소리, 말투와 몸짓까지 전부 자연스러웠고, 그 자리에서 바로 다섯 계좌에 나눠 이체해달라는 지시가 내려졌어요. 직원은 직접 눈으로 확인했으니 이상이 없다고 판단했고, 총 15회에 걸쳐 약 340억 원을 이체했습니다. 이체가 끝난 뒤 실제 본사에 확인 연락을 하면서 사기였다는 사실이 발각됐습니다. 화면 속 CFO와 임원들은 전부 AI가 생성한 딥페이크였던 것이죠. (관련 뉴스)

이 사례도 크게 두 가지 심리를 이용했어요. 하나는 시각적 신뢰입니다. 사람은 직접 눈으로 본 것을 본능적으로 믿어요. 화상 통화로 확인하겠다는 판단도 올바른 대응이었지만, 공격자는 그 절차까지 미리 설계에 포함한 것이죠. 본인의 의심을 스스로 확인했으니 그 뒤에는 의심할 이유가 사라지게 된 것입니다.

다른 하나는 친숙함입니다. 처음 보는 사람이 아니라 이미 알고 지내던 동료, 임원들의 얼굴과 목소리를 본다면, 낯선 요청이 아니라 아는 사람의 지시로 느껴지고 경계심이 낮아지는 것이죠.

모바일 청첩장은 링크 클릭 한 번으로 끝났지만, 이번 사례는 상대방이 의심할 것까지 예측하고 활용했다는 점에서 한 단계 더 정교합니다. 이것이 사람의 심리를 이용한 사회공학이 특히 막기 어려운 이유예요.

사회공학 기법의 다른 형태들 - 스미싱, 보이스피싱, 로맨스 스캠

두 가지 시나리오에서 문자와 이메일을 다뤘지만, 사회공학 기법은 더 다양한 공격에서 활용할 수 있습니다.

앞서 본 Arup 사례처럼 최근엔 딥페이크(Deepfake)를 활용한 방식도 등장했습니다. 보이스피싱에 AI 합성 음성을 사용하거나 로맨스 스캠 상대방이 딥페이크 영상으로 화상 통화를 하는 등, AI로 얼굴과 목소리를 합성해 위 세 가지 공격과 결합할 수 있어요.

국내에서도 수법은 계속 진화하고 있습니다. 2025년 말 유행한 셀프 감금 수법은 검사, 경찰을 사칭해 공포를 조성한 뒤 피해자를 가족과 고립시키고, 직접 현금을 인출하게 만드는 보이스피싱입니다. 이처럼 특별한 기술만으로 범죄를 저지르는 것뿐만 아니라 정교한 심리 설계와 함께하는 방향으로 진화하고 있습니다.

2026년, 사회공학적 기법을 막기 어려운 이유 (AI-Driven 피싱)

Arup 사례처럼 지금까지는 정교한 공격일수록 특정 기업이나 고가치 타깃을 노렸습니다. 공격자 입장에서도 큰 수익이 예상되는 곳에만 집중하는 것이 합리적이거든요.

하지만 AI가 이 전제를 바꿔놓고 있습니다.

Symantec 연구에 따르면, 현재 AI 에이전트는 타깃 조사, SNS 정보 수집, 맞춤형 메시지 작성, 발송 추적까지 공격의 전 과정을 자동화할 수 있는 수준이라고 해요. 예전이라면 한 명을 노리는 데 며칠이 걸리던 과정이, 이제는 수백 명을 동시에 타깃으로 할 수 있는 것이죠. KnowBe4의 2026년 4월 보고서에서는 현재 피싱 공격의 86%가 이미 AI 기반으로 제작되고 있다고 밝혔습니다. (출처)

이제는 충분히 중요한 타깃인지 관계없이 지금 이 글을 읽고 있는 여러분도 정교한 공격의 대상이 될 수 있는 것이에요. 과거에 기업이나 임원들이 주로 당하던 방식이 이제는 대학생, 취업 준비생, 일반 직장인에게도 그대로 적용될 가능성이 높습니다.

사회공학 공격을 알아채는 실전 기준

막을 수 있는 방법이 없는 건 아니에요. 완벽한 방어는 어렵지만, 공통적인 습관만 있다면 피할 수 있습니다.

요청이 온 경로와 확인하는 경로를 분리하세요.
이메일로 요청이 왔다면, 그 이메일에 있는 전화번호가 아니라 직접 공식 홈페이지나 사내 연락처를 찾아서 확인해야 해요. 번거롭거나 귀찮다고 느껴지는 심리가 공격자가 가장 원하는 지점입니다.

긴급할수록 잠시 멈춰서 확인하세요.
지금 당장, 오늘 중으로, 이사회 전까지 등 시급한 상황처럼 보여도 확인할 시간은 있습니다. 진짜 긴급한 업무라면 직접 확인하는 절차를 거쳐도 해결하는 방법이 반드시 있어요. 급박함을 조성하는 요청일수록 확인 단계를 한 번 더 거치는 것이 중요합니다.

모르는 경로로 온 파일과 링크는 열지 마세요.
문자로 온 링크, 출처가 불명확한 USB, 예상하지 못했던 첨부파일은 열기 전에 한 번 더 의심해 보는 것이 좋아요. 평소에 받지 않던 방식으로 온 파일이 가장 위험한 경우가 많습니다. 의심스럽다면 보낸 사람에게 직접 이런 파일을 보낸 것이 맞는지 확인하는 것도 좋아요.

SNS에 올린 정보가 공격의 재료가 될 수 있어요.
Arup 사례처럼, 공개된 정보가 공격의 시작점이 됩니다. 이름, 부서, 소속, 최근 프로젝트 같은 정보를 사전에 조사해 공격에 활용할 수 있어요. 업무 관련 정보 혹은 개인 정보를 공개 SNS에 올릴 때, 어느 수준까지 노출하고 있는지 한 번 점검해 보는 것이 좋습니다.

앞서 교수님께 메일 답장을 빨리 받고 싶다면, 제목을 상대방이 반응할 단어로 바꾸는 것을 말했었죠. 공격자들도 정확히 같은 방식으로 접근하곤 합니다. 상대가 어떤 상황에서 의심을 내려놓는지, 어떤 말에 손이 먼저 움직이는지를 먼저 파악하고 공격을 설계해요.

기술적인 취약점은 패치로 막을 수 있지만, 심리적인 취약점은 업데이트되지 않아요. 그래서 공격자들이 계속 사람을 노리는 겁니다. 반대로 이 설계를 미리 알고 있다면 같은 상황에서도 다르게 반응할 수 있습니다.

사회공학 기법이 실제로 어떻게 작동하는지, 어떤 심리를 노리는지 더 깊이 들여다보고 싶다면 드림핵의 [보안 의식 함양 Path]를 살펴보세요. 아는 것만으로도 피해를 막을 수 있습니다.