FedEx의 진짜 결제 문자가 피싱처럼 보였던 이유
(troyhunt.com)- 실제 FedEx 관세·세금 결제 SMS가 피싱 메시지와 거의 같은 신호를 보여, 4,000명 이상이 참여한 설문에서 87%가 의심스럽다고 판단함
- 메시지에는 짧은 shipment number, 긴급 결제 요구, 어색한 대소문자, 통화 표시 누락, FedEx가 아닌
bpoint.com.au결제 주소가 함께 들어 있었음 - FedEx 배송 추적 화면에서는 duty나 tax 정보를 확인하기 어려웠고, BPOINT 링크는 URL 파라미터만 바꿔도 tracking number, customer name, amount가 달라졌음
- 고객지원 경로와 전화 안내도 혼란스러웠지만, 3일 뒤 도착한 이메일 첨부파일에서 Prusa 인보이스와 주문·가격·배송 정보가 확인되며 SMS가 실제 요청과 일치함
- 스캠 SMS 차단 같은 기술적 통제만으로는 부족하며, 합법적 기업 메시지가 피싱의 전형적 특징을 닮으면 사용자의 판단 기준이 무너짐
진짜 배송 알림이 피싱처럼 보인 상황
- 최근 “소포를 배송할 수 없다”는 유형의 SMS 피싱이 많이 도착했고, 통신사의 필터를 통과해 받은편지함까지 들어옴
- 피싱 여부를 볼 때는 긴급성, 놓칠 수 있다는 불안감, 배송사와 맞지 않는 이상한 URL 같은 신호를 확인하게 됨
- 실제 FedEx 배송을 기다리던 중 duty와 taxes를 결제하라는 SMS가 도착했고, 겉모습만으로는 진짜 요청인지 피싱인지 판단하기 어려웠음
- X 설문에는 4,000명 이상이 응답했고, 87%가 “dodgy AF” 라고 판단함
SMS에 들어 있던 의심 신호
- 메시지에는 FedEx가 보통
FedEx처럼E를 대문자로 쓰는 것과 달리 어색한 표기와-Exp같은 문자열이 들어 있었음 - shipment number가 너무 짧아 보였고, 아래 결제 요청에 나온 번호와 동일했음
urgent라는 표현은 사람이 충분히 생각하지 않고 행동하게 만드는 사회공학 신호로 작동함Duty와Taxes의 대소문자가 어색했고, 글로벌 배송사 메시지인데 통화나 달러 기호가 없었음- 결제 링크는 FedEx 도메인도, 호주 정부 도메인도 아닌
bpoint.com.au였음 - 문의 연락처를 SMS 안에 제공하는 방식은 NAB가 문자 메시지에서 링크를 제거하는 흐름과 반대였음
직접 검증하기도 어려웠던 절차
- 의심스러운 결제 요청은 메시지의 링크를 누르지 말고 해당 웹사이트로 직접 가서 확인하는 것이 기본 조언임
- Prusa 구매 확인 메일에서 배송 정보를 찾아 FedEx 웹사이트로 이동했지만, 배송 추적 페이지에서 duty나 tax 관련 항목을 찾지 못했음
- SMS의 링크를 따라가면 tracking number, customer name, amount를 URL 파라미터 변경만으로 임의 수정할 수 있었음
- 브라우저 DOM 수정이나 트래픽 가로채기 없이 query string 파라미터 변경만으로 가능했음
- 이 동작은 피싱 사이트처럼 보였지만, BPOINT는 Commonwealth Bank가 제공하는 결제 게이트웨이였음
- 다음 날 같은 발신자에게서 또 다른 SMS가 도착함
- 이번에는 shipping number가 문자에 포함됐고, duty와 taxes의 대소문자는 정상으로 바뀌었음
PAY NOW가 대문자로 표시됐고, “링크”는 scheme, domain, path 없이 query string 파라미터만 있어 클릭해 결제할 수 없었음- query string 파라미터 이름도 모두 대문자로 바뀌어, 다른 생성 절차가 있거나 절차가 깨진 것처럼 보였음
고객지원과 최종 확인
- 1800 번호를 검색하자 Reverse Australia의 해당 번호 페이지가 상위 결과에 나왔고, 댓글과 검색 결과 전반에서 메시지의 정당성을 두고 혼란이 드러났음
- SMS 안의 번호 대신 FedEx 웹사이트의 Customer Support 경로로 확인을 시도함
- 고객지원 페이지는 이메일 커뮤니케이션과 발신자 도메인 확인에 초점을 맞췄고, SMS에 있던 번호와 다른 전화번호를 안내했음
- 안내된 번호로 전화해 duty와 taxes 메뉴로 들어갔지만, 몇 단계 뒤 키패드 입력이 동작하지 않아 같은 메시지가 반복됨
- 대안으로 132610에 전화하라는 안내가 나왔지만, 그 번호가 처음 걸었던 번호였음
- 다른 메뉴 경로로 다시 시도하자 tracking number를 요구한 뒤 웹사이트와 같은 정보를 알려줬고, 상담원 연결 옵션을 제공함
- 상담원은 배송품 가치가 US$799이고 AU$1,215.97로 환산되어 inbound fees 대상이라고 안내했지만, SMS 금액과 일치하는지는 콜백을 약속함
- 최초 SMS 이후 3일 뒤 이메일이 도착했고, 금액·BPOINT 주소·메시지가 SMS와 일치했음
- 이메일 첨부파일에는 Prusa 인보이스 전체와 주문번호, 가격, 배송 정보가 들어 있었고, SMS가 실제 요청과 연결된 것으로 확인됨
피싱 방어를 약하게 만드는 기업 메시지
- 호주에서만 스캠 피해액이 연간 AU$3B 이상이고, 글로벌 규모에서는 더 큰 문제임
- ACMA는 통신사가 3억 3,600만 건의 스캠 SMS를 차단했다고 밝혔지만, 차단되지 않은 스캠 메시지 수는 알 수 없음
- 기술적 통제만으로 충분하지 않기 때문에 사람은 돈 요청, 긴급성, 어색한 문법과 대소문자, 이상한 URL 같은 패턴으로 스캠을 식별해야 함
- 이 사례에서는 정당한 FedEx 메시지가 바로 그런 스캠 식별 패턴을 다수 포함했음
- AI 기반 스캠이 점점 식별하기 어려워지는 시기에, 합법적 조직의 메시지가 스캐머와 구분되지 않으면 사용자의 판단 기준이 약해짐
댓글과 토론
Hacker News 의견들
-
FedEx는 대기업 중 디지털 플랫폼이 최악이고 보안도 가장 허술한 축에 들어감
10세대 아파트로 이사해 FedEx Delivery Manager를 설정했더니, 새 주소만 입력했을 뿐 아무 검증 없이 이전 세입자의 배송 지시사항이 바로 보였고, 그 안에는 건물의 개인 차고 코드까지 있었음. 도둑도 똑같이 할 수 있었을 것
이사 나간 뒤 새 주소를 추가하려 했지만 사이트가 매번 오류를 냈고, 포럼을 뒤져보니 비밀번호에 특수문자가 있으면 사이트 일부 기능이 영구적으로 망가진다는 가설이 맞았음. 비밀번호 변경 흐름까지 깨져서, 결국 아내가 더 약한 비밀번호로 새 계정을 만들어야 했음
회사 자체는 인상적인데 이건 정말 아마추어 수준임- 정말 인상적인 회사인가 싶음. 여러 주소에서 내 배송 성공률은 50% 정도였고, 비슷한 장기 문제를 겪은 사람도 알고 있음
- 남부 캘리포니아에서 컴퓨터를 주문했는데 Texas, Florida, Maine을 거쳐 다시 북부 캘리포니아로 왔음
최근 두 주문은 FedEx 내부 누군가에게 그냥 도난당한 듯했고, 시설에는 들어갔지만 이후 밖으로 나가지 않았음. 고객센터는 해외에 있는 사과 기계일 뿐 아무것도 해결 못 함. 예전엔 FedEx를 선호했지만, 서비스 수준이 너무 낮아져 일부러 피하게 됨 - 더 심각한 일도 있었음. FedEx 무료 배송 용품을 받으려고 배송 계정을 만들었는데 웹사이트의 비밀번호 문제 때문에 계정을 만들 수 없었고, 아마 다른 흐름을 쓰는 모바일 앱으로 우회했던 것 같음
계정을 만들자마자 나와 전혀 상관없는 발신자·수신자의 수천 달러짜리 국제 배송 청구서가 날아왔고, 등록된 신용카드에서 자동 결제까지 됨. 카드를 삭제하자 두꺼운 FedEx 종이 청구서가 우편으로 오기 시작함
알고 보니 FedEx는 9자리 계정번호만 알면 아무 계정으로든 청구할 수 있게 해놔서, 사기꾼들이 무작위 번호를 생성해 이런 짓을 늘 하는 구조였음. FedEx는 신경 쓰지 않았고, 사기 신고도 거부했으며 신고 후에도 추가 사기 배송을 허용함. 결국 카드사에 차지백을 걸고 나서야 계정을 닫아줬지만, 이제 해지도 못 하는 마케팅 이메일은 계속 옴. 누구도 써서는 안 될 회사임 - Spectrum도 만만치 않음. 몇 년 전 새로 이사 오던 이웃이 신규 계정 신청에서 주소를 내 주소로 오타 냈는데, Spectrum은 이전 거주자가 계정을 해지하고 싶어 한다고 친절하게 추론해서 내 인터넷을 끊어버림
주소만 알면 인터넷 어디서든 지구상 아무 사람에게든 서비스 거부 공격을 할 수 있는 셈임 - 몇 년 전 teenage engineering의 OP-1을 샀는데 FedEx가 우편함 안에 배송해버렸음. USPS는 FedEx 소포를 우편함에서 꺼내 지역 우체국에 압류했고, 나에게는 전혀 알리지 않았음
1~2개월 동안 소포가 도난당했다고 생각하며 기다리다 USPS에 혹시 보관 중인지 물었더니 실제로 “배달 불가 우편실”에 있었고, FedEx가 USPS/정부 소유인 우편함에 소포를 넣은 건 불법이라고 한참 설교를 들음
FedEx에 해결을 요청하려고 전화했지만, 기억으로는 전화를 안 받았거나 배송 기사에게 연락할 방법이 없다고 했음. 그 뒤로 FedEx는 피하고 있고, UPS도 eBay에서 산 골동품 램프 두 개를 망가뜨린 뒤로 피하게 됨
-
아내가 주택담보 신용대출을 신청했을 때, 은행에서 왔다고 주장하는 사람이 전화해 집이 공동명의라 내가 대출을 승인하는지 확인해야 한다고 했음
이름을 물어서 알려줬고, 이어서 사회보장번호 마지막 네 자리도 알려줬는데, 곧바로 전체 사회보장번호를 요구하자 경고등이 켜졌음. 갑자기 전화한 낯선 사람에게 마지막 네 자리라도 알려준 게 불안해졌고, 은행 웹사이트에 있는 번호로 다시 전화해 그가 실제 직원인지 확인할 수 있냐고 물었음
그는 짜증을 내며 자신에게 연결되는 번호는 웹사이트에 없을 것 같고, 전체 사회보장번호를 주지 않으면 대출 신청을 거절할 수밖에 없다고 했음. 공식 은행 번호를 통해 다시 연락할 방법이 없다면 정보를 줄 수 없다고 하자 화를 내며 끊었음
알고 보니 그는 진짜 은행 직원이었고, 실제로 대출 신청을 취소했음- 은행에서 보안 질문을 하려고 전화한 적이 있었음. 은행 웹사이트의 번호로 다시 전화하겠다고 했더니, 내가 은행에 전화하면 보안 질문 담당자에게 연결될 방법이 없고 오직 그들이 나에게 전화하는 방식뿐이라고 했음
실제로 공식 번호로 전화해보니 은행도 이를 확인해줬음. 좋지 않은 보안 관행이라고 설명했지만, 발신자 번호를 보고 은행에서 온 전화인지 확인하면 된다고 했음. 발신자 번호 위조를 설명하는 건 아무 소용 없었음 - 나이가 어느 정도 있다면, 사회보장번호 마지막 네 자리가 사실상 유용한 엔트로피 대부분일 수 있으니 조심해야 함
2011년 전에는 앞 세 자리가 발급 사무소를 나타냈고, 가운데 두 자리인 “그룹 번호”는 공개적으로 알려진 순서에 따라 쓰였음. 사회보장청은 각 사무소가 도달한 최고 그룹 번호 목록도 주기적으로 공개했음
1986년 세법 변경으로 자녀 세액공제를 받으려면 아이의 사회보장번호가 필요해지면서 출생 시 등록이 흔해졌고, 이런 사람들은 앞 다섯 자리를 예측하기 매우 쉬움 - 이건 그냥 극도로 무능하고 무례한 대출 담당자임. 보통 대출 담당자는 수수료를 받기 때문에 거래를 성사시키고 수표를 써주려는 동기가 강함
고객을 화나게 해서는 달콤한 수수료를 받을 수 없으니 보통은 친절함. 마지막으로 통화한 대출 담당자는 1년에 10억 달러 이상의 주택담보대출을 성사시켰고, 전화상으로도 정말 친절했음
이런 경우라면 공식 은행 이메일 주소로 이메일을 보내게 하거나, 은행 자체 웹앱이나 메시징 시스템을 쓰게 할 수 있었을 것 - 비슷한 일이 있었음. 한 은행 계좌에서 다른 은행 계좌로 꽤 큰 금액을 이체했는데, 몇 분 뒤 수신 은행의 “사기 방지” 번호처럼 보이는 곳에서 전화가 왔음
전화를 받자 상대는 사기 전화에서 흔히 듣는 아주 강한 억양이었고, 최근 거래를 했는지 묻더니 이 거래를 확인하려면 집 주소와 사회보장번호 등 추가 개인정보를 제공하라고 했음. 거절하자 계좌가 잠길 거라고 했음
실제로 계좌가 잠겼고, 지점에 직접 가서 풀어야 했으며, 이체하려던 돈이 다른 계좌에 실제로 있다는 것도 증명해야 했음. 전혀 말이 안 됨. 새 계좌도 아니고 이전에도 두 계좌 사이에서 이체한 적이 있었는데, 대체 어떤 사기를 막으려던 건지 모르겠음 - 내 은행 약관에는 PIN이나 일회용 비밀번호 같은 비밀정보를 제3자에게 주면 안 되고, 은행 직원에게도 주면 안 된다고 되어 있음
그런데 피싱처럼 보이는 관행에 대해 문의했더니, 최근 180일 거래 내역을 보기 위해 자격 증명을 입력받고 신용점수를 계산한 뒤 돈을 인출하는 “합법적인” 웹사이트라 괜찮다고 했음. 독일 회사와 상황을 살펴보고 더 나은 해결책이 있는지 보겠다고도 했음
klara인지 klarna인지 하는 결제 제공업체가 독일에서 꽤 인기 있는 것 같지만, 은행이 보안 관련 약관을 일방적으로 바꾸는 걸 이해할 수 없음. 물론 잘못된 사람에게 비밀정보를 주면 그건 당신 잘못이고, 사회보장번호가 사기꾼에게 넘어가도 은행은 신경 쓰지 않을 것
- 은행에서 보안 질문을 하려고 전화한 적이 있었음. 은행 웹사이트의 번호로 다시 전화하겠다고 했더니, 내가 은행에 전화하면 보안 질문 담당자에게 연결될 방법이 없고 오직 그들이 나에게 전화하는 방식뿐이라고 했음
-
몇 달 전 회사 IT 센터에서 받은 이메일이 지금까지 받은 어떤 피싱 메일보다 더 수상했음
회사 공식 도메인과 전혀 닮지 않은@itservice.com같은 일반 도메인에서 왔고, 제목은 “URGENT: your account is expiring soon”이었음. 본문에는 여러 링크가 있었는데 모두 읽기 어렵고 여러 줄로 길었으며, 회사와 바로 연결되는 도메인은 하나도 없었음
링크 클릭 말고는 해결 방법도 없었고, “계정 설정으로 이동”, “직속 관리자에게 문의” 같은 대안도 없었음. 그런데 실제 메일이었음. 참고로 직원 수 약 10만 명인 회사임- 우리 IT도 만료되는 m365 비밀번호로 똑같은 일을 했음. 회사 도메인을 쓰지 않았고, 오타가 많았으며, URL은 이상한 링크 단축기로 가려져 있었음
같은 팀이 6개월마다 비밀번호 변경을 강제하고 최근 20개 비밀번호 재사용도 막음. 비밀번호 관리자를 직접 불러오지 못하는 시스템에 하루 10~20번 직접 입력해야 하는 비밀번호들임. 직원 평균 비밀번호 강도가 어떨지 뻔함
IT 무능은 감사 실패로 이어져야 하고, 더 좋게는 상장폐지 사유가 되어야 한다고 봄 - 은행도 이런 일을 함. 물건을 사자 몇 분 안에 은행에서 온 것처럼 보이는 아주 사기스러운 이메일을 받았음. 저품질 GIF가 들어 있고,
purchase-verification-users.net/235532/confirm.html같은 무작위 비은행 웹사이트 링크를 클릭하라고 했으며, 검색해도 사이트가 나오지 않았음
동시에 무작위 번호에서 전화가 와서 몇 가지 구매 내역을 확인하자고 했고, 찾아보니 내 은행 웹사이트에 있는 번호가 아니었음
끊고 은행에 직접 전화했더니, 10분간 자동응답을 헤맨 뒤 상담원이 그 번호는 실제로 고객에게 연락할 때 쓰는 번호라고 확인해줌. 왜 웹사이트에 올린 번호 목록에는 없냐고 묻자, 온라인에 공개하지 않은 번호로도 자주 전화한다고 했음
그 이메일을 보낸 게 은행이냐고 묻자, 보낸 사람 줄에 은행이라고 되어 있으면 클릭해도 된다고 했지만, 실제로 그 이메일을 보냈는지는 정보가 없다고 했음. 보낸 사람 줄이 은행이 아니면 누르지 말고, 은행이면 눌러도 된다는 식이었음 - 그 회사 규모에서 IT 센터가 메일 클라이언트에 설치한 “Report Phishing attempt” 버튼을 눌렀어야 함
약간 비꼬는 말이긴 하지만, 그 정도 회사에서 피싱 신고 수단도 없다면 수상한 이메일 캠페인보다 더 심각한 문제가 있는 것 - 회사 보안 교육은 받은 이메일의 URL을 주의 깊게 확인하라고 가르치지만, 회사 보안 소프트웨어는 들어오는 이메일의 모든 URL을 다시 써버림
아마 중앙에서 검사하려는 목적이라면 어느 정도 합리적인 절충일 수 있지만, 내가 이메일의 정당성을 판단하는 능력을 크게 떨어뜨림. 적어도 교육 내용은 업데이트해야 함 - 우리 회사는 호스팅과 PaaS를 하는데, 내부 메신저에서 처음 보는 사람이 “제발” root로 몇 가지 명령을 실행하고 결과를 보내달라고 요청했음
처음엔 충격을 받고 정보보안 점검을 했는데, 알고 보니 장비 재고 조사를 위해 시스템 정보를 모아야 했던 “신입”이었음. 아직 네트워크 관리 도구 접근권한이 없었고, 무작정curl ... | sh를 실행하는 게 왜 좋지 않은지 잘 몰라서 사람들에게 조각조각 직접 정보를 받으면 괜찮다고 생각한 것
이런 일은 실제로 벌어짐
- 우리 IT도 만료되는 m365 비밀번호로 똑같은 일을 했음. 회사 도메인을 쓰지 않았고, 오타가 많았으며, URL은 이상한 링크 단축기로 가려져 있었음
-
오늘 독일 은행이 새 약관이 담긴 USB 메모리를 우편으로 보냈다는 Reddit 글을 봤음: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
지어낼 수가 없는 수준임- 그 댓글이 좋았음: “Sparkassen 그룹 어딘가의 조직에서 외부 CyberCyberCyber 담당자로 일하는데, 은행 정보보안에 조금이라도 관련된 사람 중 이 마케팅 아이디어를 들은 사람은 아무도 없다고 장담할 수 있다”
- 이게 진짜라고 믿기를 그냥 거부하겠음. 심리적 방어기제로
- EU 법에는 이런 문서를 “내구성 있는 매체”로 전달해야 한다는 요구가 있음
어떤 은행이나 금융기관은 이를 이상하게 해석하는 듯함. 다른 곳에서는 이메일 첨부파일로도 충분해 보이는데 말임 - ChatGPT 번역에 따르면 USB 안에는 “약관, 가격 및 서비스 목록, 조건”이 들어 있으며, “2024년 5월 1일부터 적용되는 가격 및 서비스 목록, 약관, 추가 조건은 USB 메모리에서 확인할 수 있다”는 Sparkasse Bremen AG의 안내였음
- 일부 독일 은행은 여러 요금제를 가진 유료 저장 서비스도 만들었음
고객에게 문서를 전달해야 하는 의무가 있는데, 경영진이 그 요구사항을 이상하게 받아들이고, 가장 터무니없는 해결책과 아이디어가 그들에게 팔리고 있음
-
자동차를 샀을 때 몇 달 뒤, 보험 가입을 증명하지 않았으니 은행 소유가 아닌 도메인에 방문해 증빙을 제출하라는 이메일을 받았음
이메일은 조잡하게 스캔한 편지지처럼 보였고 정말 수상했음. 몇 번 받은 뒤 결국 은행에 연락해보니 진짜였음
창구 직원이 아니라 자기 책상이 있는 담당자에게 이 상황이 왜 나쁜지 설명하려 했지만 이해하지 못했음. 곧 그 대출을 갚고 그 은행을 떠났음- 주택담보대출에서도 비슷한 일이 있었음. 주택 보험 정보를 갱신하거나 확인해야 한다며 어떤 사이트로 가라는 이상한 문구의 편지를 받았음
보험 중개인에게 전화해보니 실제 요청이 맞았음. 이 편지가 온갖 경고 신호를 기준으로 보면 나이지리아 왕자 사기와 몇 단계 차이밖에 없다고 설명했지만, 큰 변화는 없었던 것 같음
- 주택담보대출에서도 비슷한 일이 있었음. 주택 보험 정보를 갱신하거나 확인해야 한다며 어떤 사이트로 가라는 이상한 문구의 편지를 받았음
-
글 자체는 훌륭했지만, 첫 번째 SMS가 너무 끔찍해서 FedEx가 받는 사람에게 관세를 나이지리아 왕자에게 송금하라고 말하는 편이 나을 정도였음
다만 Troy Hunt의 권고 방향에는 일부 동의하지 않음. 기본 전제는 사람이 일반적으로 진짜 메시지와 피싱 메시지를 구별할 수 없다는 것이어야 함. AI 때문에 앞으로 더 그럴 것이고, 그런 특징 구분에 의존하는 건 치명적 결함임
대신 받은 메시지 안의 외부 링크나 전화번호에 절대 의존하면 안 됨. 주소나 전화번호를 직접 찾아서 해당 서비스에 로그인해야 함. 끊고, 찾아보고, 다시 전화하기는 절대적인 구호가 되어야 함
책임 있는 조직은 문자·이메일·전화에 링크나 전화번호를 절대 넣지 않겠다고 선언하고, 알림 메시지에는 “자세한 내용은 대시보드에 로그인해 확인하세요” 정도만 적어야 함- Troy Hunt가 그렇게 권하고 있는 건 아닌 것 같음. 글 시작부터 “하지만 나는 똑똑한 인간이라 속지 않는다”는 농담과 함께, 왜 인간이 URL에 약한지 읽어보라고 함
그는 사기성 URL을 휴리스틱으로 구별하는 방식이 장기적으로 확장 가능한 접근이 아니라고 보고 있음이 분명함 - “AI 때문에 더 그럴 것”이라는 말은 이미 더 심해질 여지가 없을 정도임
인간은 이미 피싱 식별에 95% 정도 실패함. 사람도 이미 실제 이메일, 웹사이트, 문자 등을 정확히 복제할 수 있으니 AI가 필요하지 않음 - 이건 필요한 것보다 더 큰 제한이고, 기술에 익숙하지 않거나 산만하거나 그날 아프거나 그냥 좀 둔한 사용자에게 불친절함
링크를 넣되 핵심 도메인에 속하게 하고, 짧고 눈에 띄게 만들면 됨: https://example.com/contact
사용자가 로그인하지 않은 상태라면 “저희에게서 메시지를 받았다면 자세한 내용을 보려면 로그인하세요”라고 설명하는 로그인 흐름을 먼저 보여주고, 문의 양식, 전화번호, 고객지원 채팅이 있다면 그것도 포함하면 됨
피싱 사이트도 어느 정도 흉내낼 수 있지만, 사용자가 문제 해결 방법을 스스로 찾아내게 강제할 이유는 아님 - 걱정할 것 없음. 일부 판사와 선출직 공무원들에 따르면, 의심스러운 문자가 AI로 만들어졌는지 ChatGPT에게 물어보면 됨
- Troy Hunt가 그렇게 권하고 있는 건 아닌 것 같음. 글 시작부터 “하지만 나는 똑똑한 인간이라 속지 않는다”는 농담과 함께, 왜 인간이 URL에 약한지 읽어보라고 함
-
이건 조직적 무능의 결과이긴 하지만, 어느 시점에는 문제의 SMS 템플릿 내용을 어떤 컴퓨터 시스템에 입력한 한 사람이 있었을 것임
그 사람이 무슨 생각으로 단어를 이렇게 이어 붙였는지 정말 궁금함. 더 나쁘게 만들려면 진심으로 노력해야 했을 정도임- 그 “단어들”은 아마 중첩된 템플릿이라, 입력 단계에서는 완성된 결과가 어떻게 보일지 이해하기 어려웠을 가능성이 큼
기술 분야에는 선의는 있지만 혼자 실행하기엔 약간 복잡한 일을 동료나 검토자 없이 하는 사람이 많음. 대기업에는 팀과 부서 전체가 이런 상태인 곳도 있음
그 사람이 완전히 무능하지 않아서 팀의 스타 엔지니어일 수도 있고, 나머지는 자신들이 기여할 게 없다고 생각해 입을 다물었을 수도 있음. 정말 잘하는 사람들은 다른 층의 멋진 신규 프로젝트나 엘리트 “리팩터링 팀”으로 빠져나갔을 테고, 템플릿 업데이트 같은 일에 시간을 쓰지 않았을 것 - 한 사람이라고 가정할 필요는 없음
한 사람이 문구를 쓰고, 다른 사람이 Jira 티켓에서 부분 수정을 요구했을 수도 있음. 그런데 데이터 타입이 작성자가 요청한 것과 맞지 않았고, 개발자가 처리하기 싫어서 그냥 배포했을 수도 있음
또는 메시지가 서로 분리된 여러if문으로 구성되고 최종 출력만 고객에게 전달되는 구조일 수도 있음. 전체 메시지를 보는 사람 없이, 각자가 자기 조건문 안의 작은 부분만 고치다 보면 끔찍한 로그 메시지가 자주 나옴
예전에 어떤 오류가 왜 발생했는지 매우 자세한 메시지를 생성하는 코드를 다룬 적이 있는데, 나중에 보니 그 대부분은 고객에게 전달되지 않았음. 뒤쪽에서 누군가+=대신 변수를 재할당했기 때문임. 수많은 지원 티켓을 피할 수 있었을 것 - 사기꾼들이 매우 똑똑해서 우리의 심리적 약점을 찌르는 모든 기법을 의도적으로 쓴다고도 하지만, 90%는 그냥 “공식적으로 들리는” 메시지를 쓰라는 지시를 받는 것 같음
이 템플릿을 쓴 가상의 사람도 똑같이 하려 했고, 그래서 결과가 그렇게 비슷해졌을 것. “urgent”를 쓰거나 “Duty”, “Taxes”를 대문자로 시작한 것도 더 격식 있고 공식적으로 보이려는 시도에서 나온 듯하며, 분명 숙련된 작성자는 아니었음 - “무능”이라는 단어는 흥미로움
무능과 악의에 관한 오래된 격언은 둘 중 하나를 고르게 하지만, 실제로는 둘 사이에 스펙트럼이 있고 의식적·무의식적 의도를 설명하는 여러 차원이 있다고 보는 편이 더 정확함
영국 Post Office 스캔들을 보면 무능 위에 악의가, 그 위에 다시 무능이 쌓인 모습을 볼 수 있음. 어떤 조직에서는 명백히 해로운 입장이 “정책”으로 작성되기도 함. 종종 이것은 “PR” 아래 들어가며, 앞으로는 악의를 숨기고 검토를 피하기 위해 “AI”가 더 많이 쓰일 것
ITV 드라마 마지막 화에서 Alan Bates 역의 Toby Jones가 무능과 악에 대해 “그 둘은 같은 것이다”라고 말하는 장면이 강렬했음. 어느 순간에는 무능과 악 사이의 차이가 사라짐. 더 깊은 심리학적 논의는 여기서 들을 수 있음: https://cybershow.uk/episodes.php?id=23
관련 자료: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, Edward Bernays의 공중관계 정의는 보안과 정반대인 기만·조작·허위정보의 신조를 제시함: https://en.wikipedia.org/wiki/Public_Relations_(book)
- 그 “단어들”은 아마 중첩된 템플릿이라, 입력 단계에서는 완성된 결과가 어떻게 보일지 이해하기 어려웠을 가능성이 큼
-
내 FedEx 경험과도 잘 맞음. 소포를 받은 지 7개월 뒤 청구서를 보냈고, 며칠 뒤 결제에 필요한 정보도 없는 독촉장이 왔음
미납 청구서는 잃어버렸을 수도 있는데 필요한 정보를 빼먹은 건 꽤 게으르고 멍청한 일임. www.fedex.com으로 가서 계정을 만들라고 해서 만들었지만, 내 청구서에 대해서는 아무것도 알지 못했음
우연히 원래 청구서를 찾았는데, 7개월 늦게 보낸 그 청구서에는 아주 작은 글씨로 “즉시 납부”라고 적혀 있었음. 우리나라에서는 보통 30일이라 청구서에서 처음 본 표현이었음. 물론 내가 납부한 지 10일 뒤 두 번째 독촉장도 보냈음- 일부 업체에서는 흔한 관행임
Texas의 유료도로를 달리면, 현장에서 요금을 낼 수 있는 톨게이트는 없고 6~12개월 뒤 우편으로 “다섯 번째이자 마지막 경고”라는 청구서가 옴. 통행료 4달러와 연체료 80달러를 내라는 식임
이걸 운영하는 사람들 뒤에는 Texas 주의회에 친구나 가족이 있을 거라고 확신함 - 나도 비슷했는데, 처음 들은 소식이 내 관세 청구가 추심으로 넘어갔다는 것이었음
채권추심에 관한 무서운 메시지가 잔뜩 왔지만, FedEx 소포와 관련된 것이라는 말 외에는 아무 설명도 없었음
- 일부 업체에서는 흔한 관행임
-
많은 것이 외부 클라우드 제공업체에 아웃소싱되면서 생기는 진짜 문제임
예전에는 회사 인트라넷에서 온 것이면 괜찮았음. 이제는 설문, 교육, 새 유행 프로젝트가 전부 정체불명의 외부 도메인에서 오고, 거기에 회사 자격 증명으로 로그인하라고 함
우리 회사는 “가짜 피싱” 캠페인을 운영해 피싱 이메일 인식을 게임처럼 만들며 감각을 유지하게 하지만, 합법적인 회사 업무에 이런 일이 필요해서는 안 됨 -
법 제안을 해보자면, 회사의 전자 알림이 합리적인 사람이 정당성을 의심할 명백한 이유가 있을 만큼 피싱처럼 보이면, 이를 무시한 데 따른 모든 금전적·법적 결과는 발신자가 부담해야 함
여기서 “발신자”는 전자 알림을 보낸 쪽을 뜻함- 법에서 “합리적” 같은 표현을 정하는 순간 늪이 됨
법률에 “합리적”이라는 단어가 한 번 나올 때마다 변호사 비용으로 10억 달러 이상이 이미 쓰였거나 앞으로 쓰일 것이라고 봐도 됨 - 나도 그 때문에 거의 곤란해질 뻔했음. 고객이 아닌 “은행”이 “긴급, 개인정보를 적어 이 양식에 답하지 않으면 계정을 잠그겠다”는 메시지를 계속 보냈고, 꽤 사기처럼 보였음
나중에 같은 내용의 실제 우편을 받고 은행에 전화해보니, 이전 고용주에서 온 연금 관련 자금을 보관하는 계좌가 거기에 있었음 - 이 경우 결과는 수입세를 걷는 호주 정부 기관이 돈을 받지 못하는 것임
그러면 그 기관이 FedEx에 소포를 넘기지 않고, 결국 당신이 소포를 받지 못함. FedEx는 이런 알림을 훨씬 더 잘해야 하고, 최소한 카피라이터라도 고용해야 함 - 사실 결과는 이미 발신자에게 있음. 미준수하면 국가와 물품 종류에 따라 소포가 폐기되거나 반송됨
세금을 미리 내는 쉬운 방법이 없고, 검사에 걸릴지는 운에 맡겨야 하는 게 아쉬움. EU가 이 문제를 정리해서 이상한 surprises가 거의 없어진 건 다행임. United States와 United Kingdom 쪽을 제외하면 - 경영진은 과잉 대응해서 100단계 인증을 도입하고, Unicode 기호가 필수인 30자 비밀번호를 요구할 것 같음
- 법에서 “합리적” 같은 표현을 정하는 순간 늪이 됨