스팸 폴더를 열었더니, 이메일이 생각보다 그럴듯해 보였습니다. 클라우드 저장공간이 꽉 찼다는 경고 메일인데, 레이아웃도 깔끔하고 폰트도 반듯합니다. 물론 가짜입니다. 그런데 예전과 달리, 한눈에 가짜라는 티가 나질 않았습니다.

테크 뉴스레터 Tedium이 최근 스팸 이메일의 변화를 직접 관찰한 글을 발표했습니다. 스팸 폴더를 습관적으로 들여다보는 저자가 눈치챈 건 단순한 변화였습니다. 스팸이 예전보다 훨씬 ‘잘 만들어지고’ 있다는 것입니다. Guard.io의 보안 연구팀은 이 현상을 아예 “VibeScamming”이라고 이름 붙였습니다.

출처: Why Email Spam Looks Better Than Usual These Days – Tedium

스팸이 예뻐진 이유

바이브 코딩(Vibe Coding)은 코드를 직접 작성하지 않고, AI에게 자연어로 지시해 앱이나 웹사이트를 만드는 방식입니다. Lovable, Cursor 같은 도구들이 대표적인데, 이 기술이 스팸 제작에도 똑같이 적용되기 시작했습니다.

Guard.io 연구팀에 따르면, 이제 피싱 캠페인 하나를 만드는 데 코딩 실력이 전혀 필요하지 않습니다. 아이디어와 AI 도구 접근 권한만 있으면 됩니다. 신용카드 정보를 탈취하는 피싱 페이지를 만들겠다고 몇 번 프롬프트를 입력하면, 완성된 피싱 킷이 나옵니다. 연구팀은 이를 “VibeScamming”이라 부르며, ChatGPT, Claude, Lovable을 대상으로 실제로 얼마나 쉽게 악용될 수 있는지 벤치마크 테스트를 진행하기도 했습니다.

Anthropic 역시 자체 보고서에서 이 위험을 지적한 바 있습니다. AI 도움 없이는 불가능했을 랜섬웨어를 이제는 비전문가도 만들 수 있으며, 이렇게 만들어진 악성 프로그램이 개당 최대 1,200달러에 거래되고 있다는 내용입니다.

기존 스팸 탐지 방식이 무력화되는 이유

스팸을 구별하는 가장 흔한 방법 중 하나는 ‘이미지를 끈 상태에서 보기’입니다. 이메일 클라이언트는 기본적으로 스팸 폴더에서 이미지를 자동 차단하는데, 과거 스팸은 이미지에 의존해 만들어져 있어서 이미지만 꺼도 텅 빈 화면이 나왔습니다. 즉시 스팸임을 알 수 있었죠.

그런데 바이브 코딩으로 만든 이메일은 구조가 다릅니다. HTML과 CSS로 레이아웃이 짜여 있어서, 이미지를 꺼도 텍스트와 구조가 그대로 살아납니다. 마치 제대로 된 마케팅 이메일처럼 보입니다. 이미지 차단이라는 단순한 판별 기준이 더 이상 통하지 않게 된 셈입니다.

여전히 남아 있는 단서들은 있습니다. 수신자 이름 대신 이메일 주소 앞부분이 그대로 쓰인 경우, 발신 주소가 Firebase 도메인처럼 조잡한 무료 서비스인 경우가 대표적입니다. 만든 사람의 실력이 낮아진 게 아니라, 다만 도구가 부족한 실력을 보완해주고 있는 것입니다.

도구의 민주화가 가져온 양면

바이브 코딩이 주목받은 이유는 코딩 장벽을 낮춰 더 많은 사람이 창작할 수 있게 된다는 데 있었습니다. 그 기대는 유효하지만, 동시에 피해를 줄 수 있는 도구를 만드는 장벽도 같이 낮아졌습니다.

Guard.io는 이 상황을 “바의 하한선이 한 번도 이렇게 낮았던 적이 없다”고 표현합니다. AI 도구의 악용 가능성은 이미 업계 안팎에서 꾸준히 논의되어 왔지만, VibeScamming은 그 논의를 스팸 폴더라는 일상적인 공간에서 직접 확인할 수 있게 만들었습니다.

Guard.io의 VibeScamming Benchmark v1.0에는 주요 AI 플랫폼들이 악용 시도에 얼마나 다르게 반응했는지 상세한 분석이 담겨 있습니다. 각 플랫폼의 가드레일 강도 차이가 구체적으로 어떻게 나타났는지는 원문에서 확인해볼 수 있습니다.

참고자료: VibeScamming — From Prompt to Phish – Guard.io Labs