• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인공지능의 어두운 단면, 이미 공공연한 비밀 2023.07.27

우리가 인공지능의 강력함과 기능에만 집중하고 있을 때 이미 그들은 공격을 위한 준비 단계를 착실히 밟아가고 있다. 인공지능을 통한 공격이 먼 이야기라고 믿는 순간 당신은 위험에 처하게 된다.

[보안뉴스 문정후 기자] 인공지능을 기반으로 한 도구들이 속속 출현하면서 사람들의 직무 수행이 훨씬 쉬워지고 있다. 여기서 ‘사람들’이란 사이버 범죄자들도 포함한다. 인공지능 덕분에 사이버 범죄도 점점 저지르기 쉬운 일이 되어가고 있다. 특히 자동화 공격으로 인해 사이버 범죄 초보자들만이 아니라 경험자들까지도 효과적인 공격을 펼치고 있다.

[이미지 = gettyimagesbank]


이미 공격자들은 챗GPT라는 유명한 인공지능 도구를 자신들의 공격에 활용하기 시작했고, 이러한 내용은 각종 매체 등을 통해 활발히 공유되고 있다. 가장 대표적인 건 교묘하고 설득력 높은 피싱 이메일과 콘텐츠를 작성하는 것이다. 인공지능이 작성한 피싱 이메일은 어지간한 공격자들이 작성한 것보다 훨씬 정교하고, 문법과 철자 오류도 현저히 줄어든다는 사실은 이미 확인된 내용이다. 외국어로 피싱 공격을 해야 하는 공격자 입장에서 챗GPT와 같은 기술은 커다란 도움이 되기도 한다.

물론 챗GPT와 같은 기술을 아무나 아무런 목적으로 활용할 수 있는 건 아니다. 개발사들이 여러 가지 안전장치를 마련했기 때문이다. 그렇기 때문에 사용자가 이를 악용하기 위한 명령을 내리면 인공지능이 알아서 거부한다. 문제는 그런 안전장치들을 우회하는 기법들이 빠르게 개발되고 또 공유되고 있다는 것이다.

챗GPT 탈옥
해커들은 챗GPT에 탑재된 안전장치들을 무력화시키거나 우회하여 챗GPT의 강력함을 자신들의 입맛에 맞게 활용하는 방법을 계속해서 발견하고 있다. 보안 업체 카사다(Kasada)의 연구팀은 이러한 시도들을 추적하고 있으며, 이미 깃허브 리포지터리와 레딧의 스레드 등에서 GPT 탈옥 방법이 활발히 공유되고 있음을 발견하고 있다. 이 때문에 챗GPT의 악용을 제한하는 방법들이 빠르게 사라지고 있다고 한다.

예를 들어 깃허브의 gpt4free라는 패키지는 챗GPT의 개발사인 오픈AI(OpenAI)의 API를 속임으로써 악성 명령을 합법적 명령으로 인식하도록 만들어준다. 해당 패키지는 누구나 공유받을 수 있으며, 따라서 사이버 범죄자들은 이런 자원들을 적극적으로 다운로드 받아 챗GPT를 공격에 활용할 수 있게 된다.

챗GPT의 사용자 계정을 탈취하는 전략도 널리 사용되고 있다. 이미 다크웹에서는 챗GPT 플러스 계정들이 활발히 팔리고 있는데 카사다에 의하면 단돈 5달러에 거래된다고 한다. 훔친 챗GPT 계정들은 여러 가지 방법으로 악용이 가능하다. 가장 먼저는 원 사용자가 챗GPT에 해왔던 요청들의 목록을 열람할 수 있는데, 이 요청 속에 여러 가지 민감 정보가 포함됐을 가능성이 높다. 일부 기업들은 바로 이러한 점 때문에 업무에 챗GPT를 사용하지 않는다는 지침을 만들어 적용하고 있다.

인공지능, 캡챠도 뚫다
사람과 봇을 구분하기 위해 적용하고 있는 캡챠(CAPTCHA) 역시 인공지능으로 뚫린다는 조사 결과가 존재한다. 사이트에 접속하기 전에 여러 가지 퀴즈를 맞추도록 강제하는 캡챠를 좋아하는 사람은 아무도 없지만, 그럼에도 효과적인 방어 수단이기 때문에 전 세계 웹사이트의 1/3이 캡챠를 차용하고 있다. 숫자로 따지면 250만이 넘는다.

그런데 이 캡챠를 인공지능이 효과적으로 우회할 수 있다. 챗GPT만 해도 캡챠 퀴즈 문제를 풀 수 있으며, MS도 최근 시각적인 콘텐츠를 기반으로 한 퀴즈(즉 캡챠)를 풀 수 있는 인공지능 모델을 개발했다고 발표했었다. 캡챠AI(CaptchaAI)라고, 캡챠 뚫는 것을 전문으로 하는 인공지능 기술도 이미 존재한다. 다크웹에서 저렴하게 구입이 가능하다.

인공지능 플랫폼들에 갖가지 안전장치들이 마련되고, 인공지능 개발과 활용에 대한 사회 차원의 규범이 전 세계에서 고민되고 있다. 하지만 범죄자들은 반드시 구멍을 찾아내 이러한 노력들을 물거품으로 만드는 중이다. 그러므로 우리는 더 촘촘하게 그물을 만들어 악성 행위의 싹을 잘라내야 할 것이다. 그러려면 인공지능을 활용한 새로운 차원의 공격이 시작되고 있음을 인지하는 것이 중요하다. 먼 나라의 일, 소설 속에 등장하는 일이 아님을 받아들이자.

글 : 샘 크로우서(Sam Crowther), CEO, Kasada
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>