모든 기술은 선이나 악에 사용될 수 있으며, 챗GPT와 같은 생성형 AI 기술은 우리의 예상을 훨씬 넘어설 수 있습니다. 챗GPT 제작사 오픈AI의 최고 경영자인 샘 알트먼(Sam Altman)을 포함한 인공지능 업계의 저명인사들은 최근 인공지능을 인류 멸종의 잠재적 원인으로 대유행이나 핵전쟁만큼 심각하게 다루어야 한다는 경고문에 서명1했습니다.
저는 이 사실이 기업들에게 생성형 인공지능이 보안에 미치는 영향에 대한 경종을 울린다고 생각합니다.
공격자들은 기다리지 않습니다. 지난 11월 챗GPT가 출시된 지 몇 주 만에 사이버 범죄자들은 다크 웹 포럼에서 툴을 공유하고 있었으며2, 이것은 코딩 경험이 없는 사람들이 정교한 악성 프로그램을 재생성하기 위해 사용할 수 있는 도구였습니다. 수백만 명의 사람들에게 챗GPT는 본질적으로 인터넷에 있는 모든 지식에 접근할 수 있고 언제든지 이용할 수 있으며 돈을 지불할 필요가 없는 엔지니어입니다.
여기 무서운 예가 있습니다. 당사의 수석 기술자 중 한 명이 챗GPT에게 알려진 보안 취약점을 악용할 수 있는 소프트웨어를 찾는 것을 도와 달라고 했으며, 또한 대부분의 보안 소프트웨어에서 이를 탐지하지 못하도록 이를 수정해 달라고 했습니다. 그는 약 2분 만에 단 6개의 질문만으로 "알 수 없는" 코드를 얻었습니다. 그가 원했더라면 코드를 손상된 장치에 심어서 회사의 보안 경계를 통과한 후 해당 코드를 사용하여 네트워크 내부에 상주하면서 중요한 데이터를 검색하기 위해 회사 내부를 자유롭게 이동할 수 있었을 것입니다. 챗GPT를 만든 오픈AI는 명백하게 불법적인 목적으로 이를 사용하는 사람들을 차단하는 시스템을 가지고 있지만, 이 예에서 우리의 수석 기술자는 단순히 자신을 "화이트 햇" 보안 전문가로 식별함으로써 실험을 수행할 수 있었습니다.
아직 초기 단계이긴 하지만, 생성형 AI가 사이버 공격에 어떻게 활용될 수 있는지 추측하는 것은 어렵지 않습니다:
- 보다 효과적이고 효율적인 피싱 캠페인: 위의 예에서 알 수 있듯이 챗GPT는 정교한 작업을 수행할 수 있습니다. 예를 들어, 피싱 이메일을 노래나 학기말 리포트만큼이나 쉽게 작성할 수 있으며, 많은 공격자보다 훨씬 더 설득력 있게3 작성할 수 있습니다. 철자 오류나 문법적 실수 덕분에 악성 이메일을 발견하고 삭제한 적이 있나요? 챗GPT는 기본적으로 이러한 레드 플래그를 제거합니다.
- 딥페이크 공격: 챗GPT에게 헨리 데이비드 소로우 스타일의 시를 쓰라고 요청할 수 있는 것처럼, 공격자는 여러분의 CEO가 보낸 것으로 보이는 메시지를 쉽게 만들거나 심지어는 그들과 비슷한 음성을 만들 수도 있습니다. 예를 들어, 2021년에 한 일본 회사가 딥페이크 오디오 공격의 피해자가 되었는데, 지점장이 회사의 최고 관리자처럼 들리는 누군가의 전화를 받고 3,500만 달러4를 사기 계좌로 송금하도록 속였습니다.
- 자동화: 성공적인 사이버 공격은 많은 지루한 작업들을 필요로 하며, 대부분은 생성형 인공지능을 통해 완수할 수 있습니다. 합법적인 회사들이 생성형 AI를 사용해 작업을 자동화하는 방법을 찾는 것처럼, 공격자들도 마찬가지입니다. VMware의 위협 인텔리전스 시니어 디렉터인 지오반니 비그나(Giovanni Vigna)는 수천 명의 개발자가 이미 깃허브 코파일럿(GitHub Copilot)과 같은 생성형 AI 기술을 사용하여 일부 낮은 수준의 프로그래밍 작업을 처리하고 크로스 플랫폼 배포를 위해 코드를 다른 언어로 변환하고 있다5고 지적합니다. 당연히, 정교한 거짓 정보 조작 작업은 사람들을 고용해 잘못된 게시물을 작성하는 대신 이러한 도구를 사용할 수 있습니다.
- 리빙 오프 더 랜드(LotL) 공격: 최근 몇 년 동안 많은 공격의 목표는 값나가는 목표물을 찾는 동안 네트워크에 침입하여 탐지를 피하는 것이었습니다. 일반적으로 공격자는 네트워크 관리자가 사용자 문제 트러블슈팅에 이용하는 원격 데스크톱 프로토콜(Remote Desktop Protocol, 이하 RDP) 등 일상 업무에 사용하는 프로토콜과 동일한 것을 사용합니다. RDP는 "횡적 이동과 관련하여 가장 일반적으로 관찰되는 네트워크 동작" 중 하나입니다6.
- 지적 재산권에 대한 개인 정보 보호 문제: 챗GPT는 직원들이 기업 기밀 데이터를 챗GPT와 공유하여 오픈AI 사용자에게 데이터를 공개하는 데이터 유출 의혹과 엮여 있습니다. 출처7에서는 이것이 "반도체 장비 측정을 담당하는 소프트웨어의 소스 코드를 포함한다"고 명시하고 있습니다.
그렇다면, 기업들은 이처럼 AI로 인해 강화된 공격에 대비하기 위해 무엇을 할 수 있을까요? 우선, 그들은 좋은 보안 상태가 필요합니다. 최근 설문 조사에서 "응답자의 71%가 공격으로 인해 자신이 가지고 있는지도 몰랐던 취약성이 드러났다고 말했습니다."8 좋은 보안 상태는 인식과 가시성에서 시작됩니다. 지금까지 공격을 받지 않았다고 해도, 생성형 AI가 더 보편화되면서 앞으로 목표가 될 가능성이 더 높아질 것입니다.
또한 기업은 서로 더 많은 위협 정보를 편하게 공유하고, 새로운 종류의 공격에 대응하기 위해 가능한 한 많은 지혜를 활용할 수 있어야 합니다. 조직 및 산업 전반에 걸쳐 위협 인텔리전스를 공유함으로써 사이버 보안 전문가들은 훨씬 더 잘 대비할 수 있습니다.
마지막으로, 여러분도 꼭 생성형 AI를 활용하세요. 당사의 수석 기술자가 실험을 통해 입증한 바와 같이, 챗GPT는 잠재적 위협을 식별하고 분류하는 데 사용될 수 있습니다. 다른 유형의 AI를 사용해 네트워크 내부에 자리 잡은 정교한 공격자가 남긴 미묘한 이상 징후를 감지하고, 새로운 위협을 검색하고, 경고를 보내고, 신속하게 대응하는 중요한 시스템을 자동화할 수 있습니다.
생성형 AI는 의심할 여지 없이 우리를 차세대 위협으로 이끌 것입니다. 이 놀라운 신기술이 어떻게 선한 사람들에 의해 사용될 수 있는지에 대해 제 다음 글에서 더 자세히 살펴 보겠습니다.
[1] New York Times, “A.I. Poses ‘Risk of Extinction,’ Industry Leaders Warn,” by Kevin Roose, May 2023.
[2] SC Magazine, “Cybercriminals are already using ChatGPT to own you,” by Derek B. Johnson, January 2023.
[3] WIRED. “Brace Yourself for a Tidal Wave of ChatGPT Email Scams,” Bruce Schneier and Barath Raghavan, April 2023.
[4] Dark Reading, “Deepfake Audio Scores $35M in Corporate Heist,” Robert Lemos, October 2021.
[5] SC Media, “Cybercriminals are already using ChatGPT to own you,” Derek B. Johnson, January 2023.
[6] VMware Security Blogs, “Lateral Movement in the Real World: A Quantitative Analysis,” Stefano Ortolani and Giovanni Vigna, June 2022. Note: see Figure 6.
[7] VMware. “Global Incident Response Threat Report,” August 2022. Note: see page 10 for 71% metric.
[8] Cybernews, "ChatGPT tied to Samsung's alleged data leak," Villius Petkauskas, April 2023.