챗GPT가 공개되고서 두어 달이 지났지만 그 인기가 식을 줄을 모른다. 다크웹에서도 챗GPT를 가지고 노는 해커들의 모습이 적잖이 눈에 띈다. 어쩌면 우린 매우 위험한 물건을 가지고 노는 것일 수도 있다.

[보안뉴스 문가용 기자] 인공지능의 잠재력은 엄청나다. 삶의 다양한 면모들이 이 새로운 기술로 인해 바뀔 것으로 예상된다. 정보 보안 역시 인공지능으로 크게 변할 것이 분명하다. 좋은 면으로나 나쁜 면으로나 말이다. 일단 인공지능은 그 무엇보다 사이버 위협들을 빠르게 탐지하고 대응할 수 있는 시스템을 구축하는 데 큰 도움이 될 것으로 보인다.


이는 요즘 꽤나 유명한 챗봇인 챗GPT(ChatGPT)에게 인공지능과 사이버 위협에 대해 알려달라고 물었을 때 나온 답이다. 지난 해 11월 처음 공개된 챗GPT는 다양한 인공지능 모델을 기반으로 하고 있으며, 방대한 분량의 질문과 답변을 바탕으로 구축됐다. 대화 하듯이 명령은 내리면 대화 하듯이 답변을 내며, 실수를 인정할 줄도 알고 부적절한 요청은 거부할 수도 있다. 현재는 베타 버전일 뿐이지만 이미 인기가 고공행진 중이다. 챗GPT를 만든 오픈AI(OpenAI)는 2023년에 한 단계 발전된 챗GPT를 공개할 것이라고 한다.

챗GPT는 다른 인공지능 모델들과 사뭇 다르다. 특히 다른 언어로 소프트웨어를 개발할 수 있고, 코드 디버깅도 할 수 있으며, 복잡한 주제에 대해 다양한 각도에서 설명할 수 있기 때문이다. 게다가 스스로 인터뷰 준비도 할 수 있고, 수필이나 논문의 초안도 작성 가능하다. 특정 주제에 대해 글을 쓸 때, 인터넷의 정보를 긁어서 이어 붙인 후 결론을 이끌어내는 것 정도는 거뜬히 할 수 있다.

인공지능 기술이 발전하면서 대중들을 놀라게 하는 애플리케이션들이 이따금씩 발표된 건 이미 수년 전부터 있어 왔던 일이다. 챗GPT 전만 하더라도 렌사(Lensa)와 달리투(Dall-E 2)가 등장해 놀라울 정도의 이미지들을 그려내며 인터넷 전체를 들끓게 만들기도 했다.

하지만 거기에는 놀라움만 있던 건 아니었다. 인공지능을 훈련시키기 위해 여러 작가들의 작품들을 방대하게 활용했는데, 막상 훈련시키고 났더니 오히려 인공지능 훈련에 도움을 주었던 작가들의 생존을 위협하기 시작한 것이다. 심지어 자신의 작품이 훈련에 사용되었다는 사실을 전혀 모르고 있던 작가들도 한두 명이 아닌 것으로 밝혀졌다. 저작권 논란이 여러 면에서 발생하기 시작했고, 논의는 복잡하게 이어지는 중이다.

장점과 단점
모든 신기술들이 다 그렇지만 챗GPT에도 장점과 단점이 공존한다. 인공지능을 보안에 접목시킨다 했을 때 이러한 장점과 단점 모두 고스란히 보안에 영향을 미칠 것이 분명하다. 잠재적 위협 요소들을 최대한 빨리 찾아내는 데에는 인공지능이 강력함을 선보이게 될 것이라는 데에는 이견이 거의 없다. 또한 보안 담당자와의 대화 데이터가 조금만 더 축적되면 위기의 상황 속에서도 보안 업무 처리를 원활하게 할 수 있을 것으로도 기대되고 있다. 버그바운티도 보다 효율적으로 진행할 수 있게 된다. 하지만 뛰어난 기술 그 자체가 위협이 될 수 있다는 것을 간과해서는 안 된다.

챗GPT가 잠재적으로 가지고 있는 위험 요소는 ‘코드 작성 능력’이다. 물론 오픈AI가 공개한 버전 그대로의 챗GPT를 다운로드 받아서 ‘멀웨어를 만들라’고 지시하면 챗GPT는 거부한다. 챗GPT에는 지켜야 할 선이 설정되어 있다. 하지만 해커들이 이러한 설정 사항을 존중하며 준수하던가? 이미 다크웹에서는 각종 제한 사항과 규약을 우회하는 방법들에 대한 연구가 활발히 이뤄지고 있다. 그래서 ‘멀웨어를 작성하라’는 명령을 돌려 말하는 방법들이 공유되는 중이다.

멀웨어를 다크웹의 다른 범죄자들에게 대여하는 사업을 하려는 집단이 챗GPT를 다운로드 받았다고 하자. 그리고 정식 프로그램 개발 방법이 아니라 다크웹에서 공유되는 멀웨어 작성 법을 익혔다고 하자. 이들은 이것만으로도 이전과는 비교할 수 없을 정도로 빠르게 다양한 멀웨어들을 만들어낼 수 있게 된다. 바야흐로 인공지능 기반 멀웨어들이 우리를 쉴 새 없이 위협할 시대가 순식간에 도래하게 되는 것이다. 멀웨어를 작성하는 데 필요한 ‘실력’이 더 이상 필요하지 않게 됨으로써 범죄 시장으로의 진입 장벽은 없어지는 것이나 다름 없게 된다.

기업 이메일 침해 공격
챗GPT는 특정 이메일이나 텍스트를 찾아달라는 등의 ‘콘텐츠 관련 요청’에 매우 정확하고 빠르게 응답한다. 당연히 일반적인 업무에도 도움이 되지만, 오히려 그렇기 때문에 기업 이메일 침해(BEC) 공격을 감행하는 자들에게 큰 도움이 될 수 있다. 왜 그런 걸까?

BEC 공격자들은 피해자를 속이기 위해 매우 ‘진짜 같아 보이는’ 이메일을 ‘다량’으로 제작해야 한다. 그러기 위해 이들은 템플릿을 활용한다. 그래서 보안 업계는 이러한 템플릿들을 탐지 및 추적하는 솔루션들을 만들어 냈고, 잘 활용하고 있다. 하지만 챗GPT를 활용하면 템플릿에 연연할 필요가 없다. 각 피해자에게 어울리는 고유한 이메일을 챗GPT가 빠르게, 그럴 듯하게, 만들어낼 수 있기 때문이다. 이럴 경우 템플릿을 기반으로 한 탐지 기술은 소용이 없게 된다.

게다가 챗GPT는 표준 언어 구사력이 상당히 좋은 편이다. 오늘 날 가짜 이메일과 정상 이메일을 구분하는 방법 중 하나는 문법과 철자를 주의 깊게 살피는 것이다. 공격자들이 직접 작성한 이메일은 거의 대부분 말도 안 되는 문법/철자 오류를 포함하고 있기 때문이다. 하지만 공격자들이 챗GPT를 사용해 이메일을 작성한다면 이 문제가 해결된다. 심지어 챗GPT는 뉘앙스까지도 어느 정도 조절할 수 있다. 이 때문에 더욱 사람이 쓴 것과 같은 이메일이 완성된다.

앞으로 우리가 나아가야 할 방향은?
챗GPT는 아직 그 자체로 완성된 기술은 아니다. 인공지능도 마찬가지이며, 따라서 보안에 인공지능이 어떤 모양으로 접목될 수 있을 것이며, 어떤 결과를 낼 것인지는 아무도 정확히 예측할 수 없다. 챗GPT가 놀라운 기술임은 틀림없는 사실이지만 아직 대부분 상황에서 인간만큼 정확하지는 않다. 사용할 수 있는 곳이 분명히 정해져 있는 느낌이고, 당분간은 특별한 조건에서만 뛰어난 기능을 발휘할 것으로 예상된다.

그렇기에 지금 당장 보안 업계가 인공지능에 어떤 식으로 접근해야 할 것인지, 어떤 시각으로 인공지능의 발전을 지켜봐야 하는 것인지 말한다는 건 섣부른 일이 될 수밖에 없다. 다만 한 가지 확실한 건 마냥 앉아서 누군가 인공지능을 알아서 발전시키도록 그냥 두어서는 안 된다는 것이다. 발전의 양상이 변할 때마다 ‘그러면 보안에는 어떻게 적용이 될까?’를 고민하고 상상해 봐야 한다. 챗GPT가 나옴에 따라 해커들이 여러 가지 공격 방법을 연구하는 것처럼 말이다.

이런 최소한의 대비 없이 어느 날 갑자기 인공지능이 우리를 공격하는 시대를 맞닥트린다면 속수무책으로 당할 수밖에 없을 것이다.

글 : 케타키 보라드(Ketaki Borade), 수석 분석가, Omdia
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>