인공지능의 가능성은 무궁무진하다. 그러므로 인공지능이 야기할 위험의 가능성 역시 상상을 뛰어넘을 것이다. 하지만 그렇다고 해서 지금부터 벌벌 떨 필요는 없다. 우리가 누적시켜 온 보안의 방벽이 낮지만은 않기 때문이다.

[보안뉴스 문정후 기자] 인공지능이나 머신러닝 기술을 사이버 공격에 활용하면 효과가 크게 향상된다는 것은 이미 여러 차례 증명된 바 있다. 보다 설득력 높고 그럴 듯한 피싱 미끼들을 만들 수도 있고, 진짜 사람의 것으로 보이는 가짜 프로필도 생성할 수 있고, 기초적인 멀웨어라면 사람보다 훨씬 빠르게 개발할 수도 있다. 그러나 여기까지가 전부는 아니다. 인공지능 기술이 발전하면서 응용 가능성은 무궁무진하게 늘어나는 중이다.


실제로 멀웨어 개발자들은 인공지능으로 쉽고 효율적으로 개발하는 방법을 이리 저리 연구하기 시작했다. 보안 전문가들 역시 인공지능을 활용한 공격 기법들을 가상으로 만들어 실험실에서 확인하고 있다. 보안 업체 체크포인트의 경우 매우 복잡한 순서로 진행되는 공격 캠페인을 최근 뜨거운 관심의 대상인 챗GPT(GhatGPT)로 구현하는 데 성공했다. 악성 엑셀 문서로 시작해 파이선 스크립트 다운로드로 끝나는 공격이었다.

오픈AI(OpenAI)가 챗GPT를 공개하고서 6주가 지났고 그 동안 보안 업계에서는 다양한 공방 시나리오가 등장했다. 공격자들에게 유리한 시나리오도 있었고, 방어자들에게 희망적인 시나리오도 있었다. 그 중에 하나는 ‘프로그래밍 실력이 뛰어나지 않아도 멀웨어를 개발하는 게 가능하다’였는데 뚜껑을 열어보니 이는 반쯤만 맞는 것이었다. 애플리케이션을 개발할 수는 있었지만 취약점과 버그가 가득한 것들이었기 때문이다.

그렇지만 인공지능과 머신러닝이 보안과 프라이버시에 적잖은 영향을 주는 건(혹은 주려고 하는 건) 사실이다. 생성적 신경망(generative neural network, GNN)의 경우 인간의 사진을 합성해서 만들 수 있는데, 매우 실질적인 결과물을 낸다. 공격자들은 이를 가지고 가상의 인물의 프로파일을 진짜처럼 만들 수 있다. 생성적 적대망(generative adversarial network, GAN)의 경우 사람의 음성과 동영상까지 만들어낼 수 있고, 실제 이 GAN을 활용한 사기꾼에 속아 3500만 달러를 잃은 회사도 존재한다. 시간이 지나면서 인공지능이 발달하면 이런 기술들은 더 다채롭게 응용될 것이 분명하다.

그렇다면 인공지능은 조금 나중으로 미뤄도 되는 위협일까? 이 질문에 답을 하려면 먼저 ‘기업 이메일 침해(BEC)’ 공격에 대해 살펴 볼 필요가 있다. 진짜 같은 가짜 이메일을 보내야 하는 BEC 공격자들은, 메일을 조금이라도 더 진짜 같이 보이게 하기 위해 이메일 템플릿을 이용한다. 하지만 템플릿을 너무 많이 활용할 경우 보안 소프트웨어에 탐지될 가능성이 높아져서 수의 균형을 잘 맞춰야 한다.

이런 상황에서 챗GPT와 같은 인공지능 챗봇을 사용하면 어떻게 될까? 템플릿을 만드는 것처럼 쉽게 가짜 이메일을 생산해낼 수 있는데, 템플릿을 사용하지 않아도 된다. 심지어 각종 오타나 문법적 오류도 수정할 수 있어 피싱 메일에 대한 경계심을 떨어트리는 것도 가능하다. 보안 업체 앱노멀시큐리티(Abnormal Security)의 위협 첩보 책임자인 크레인 하솔즈(Crane Hassold)는 이런 작업을 실제로 진행했고, 5개 피싱 메일을 여러 기업에서 사용하는 공식 이메일과 똑같은 모양으로 어렵지 않게 생성할 수 있었다고 한다. 참고로 BEC 공격은 가장 많은 피해를 일으키는 공격 유형 중 하나다.

인공지능의 코딩에 관해 얘기하자면, 인간이 만든 소프트웨어들과 마찬가지로 버그와 취약점들이 발목을 잡고 있다. 확실히 챗GPT는 인공지능 치고는 대단한 코딩 능력을 갖추고 있는 게 맞다. 다만 버그와 취약점으로부터는 자유롭지 못하고, 스스로 프로그램을 기획할 수 없다는 한계를 가지고 있다. 이 두 가지는 해결하기 어려운 과제라고 전문가들은 말한다.

그렇다면 코딩을 할 줄 아는 공격자들이 챗GPT 같은 인공지능을 활용하면 어떨까? 이미 멀웨어 개발자들은 자동화 기술을 사용해 자신들이 만든 기본 멀웨어의 변종을 대량으로 만들어낸다. 그렇기 때문에 이전과 같은 노력으로 훨씬 광범위한 공격을 실시할 수 있게 된다. 또한 자동으로 시그니처를 조금씩 바꾸기 때문에 어느 정도 탐지 회피 능력도 보장된다. 이처럼 아예 코드를 인공지능에 다 맡기는 게 아니라, 기존 전략에 덧붙여 사용한다면 공격의 속도가 빨라지고 범위가 넓어져 파괴력이 커질 수 있다. 게다가 인공지능의 코딩 능력 역시 향상되고 있다는 걸 기억해야 한다.

베리빌머신러닝인스티튜트(Berryville Institute of Machine Learning)의 CEO 개리 맥그로(Gary McGraw)는 인공지능의 가장 위험한 점은 인간을 매우 그럴 듯하게 흉내 내고 있다는 것이라고 말한다. “방대한 양의 데이터를 어마어마한 속도로 처리하니까 어느 정도까지는 사람처럼 느껴질 정도입니다. 그렇기 때문에 잠깐만 정신을 덜 차려도, 아니면 인공지능에 대해 크게 의식하지 못하는 상황에서는 깜빡 속기 쉽습니다. 따지고 보면 사이버 공격 대부분은 속임수에서 출발하지요. 아주 강력한 속임수 도구가 나타났다고만 생각해도 인공지능이 위협적이라는 걸 알 수 있습니다.”

그래서 하솔드는 “당장 공격자들이 챗GPT나 그에 준하는 인공지능 기술을 사용해 공격을 퍼부을 가능성은 낮다”고 보는 편이다. “아직은 챗GPT를 가지고 새로운 공격 기술이나 전략을 개발하는 게 공격자들에게는 부담이 됩니다. 공격자들은 시간이든 돈이든 항상 투자를 최소화 하고 싶어합니다. 신기술이 아무리 사람들을 깜짝 놀라게 해도 실제 공격에서는 잘 활용되지 않는 게 다 이런 비용 문제 때문입니다. 챗GPT나 인공지능 기술 모두 아직은 공격자들에게 비싼 기술입니다.”

그래서 하솔드는 인공지능이 가져올 미래 위협에 대해 미리 대비하는 건 좋지만 너무 몰두하는 건 그리 권장할 만하지 않다고 말한다. “지금 당장 인공지능을 동원한 사이버 공격이 들어온다면 우리는 속수무책으로 당할까요? 아직은 아닙니다. 인공지능이 사람을 아주 잘 흉내 내는 건 맞아요. 그리고 앞으로도 더 그렇게 될 거고요. 하지만 표면에서만 그렇게 보일 뿐입니다. 조금 더 깊숙하게 들어가면 기계 티가 나는 구석들이 많습니다. 지금의 사이버 보안 장치와 도구들로도 현 수준의 인공지능 기술을 동원한 공격들은 막을 수 있습니다.”

하솔드의 설명은 이어진다. “맞아요. 피싱 이메일도 인공지능이 만들면 훨씬 진짜 같습니다. 하지만 그 이메일을 보내는 주소가 수상하다는 점까지 바꿔주지는 않습니다. 우리가 이미 가지고 있는 이메일 보안 솔루션들로도 최첨단 인공지능의 피싱 메일을 막을 수 있다는 뜻입니다. 내가 아는 사람과 똑같은 목소리를 내는 인공지능이 전화를 걸어 송금하라고 속인다 하더라도, 송금 버튼을 누르기 직전에 당사자에게 굳이 전화를 걸어 다시 확인하는 습관만 있으면 안전하다는 뜻이 되기도 하지요. 현재의 인공지능은 호들갑 떨며 걱정할 수준의 기술은 아닙니다.”

글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>