재미있는 보안 이야기

챗GPT의 어두운 이면


현재 전 세계에 챗GPT 열풍이 불고 있습니다.
22년 12월, 오픈AI(Open AI)는 대화형 인공지능(AI) '챗GPT(Chat GPT)'를 공개했습니다. 방대한 양의 학습 데이터를 토대로 인간과 같은 수준의 언어 구사력을 가진 챗GPT를 보며 세계는 놀라움을 금치 못했는데요. 질문에 대한 대답뿐만 아니라 소설과 수필을 쓰고 심지어 개발코드도 짜주기도 합니다. 또한 와튼스쿨 경영대학원(MBA) 졸업시험 통과, 의사 면허시험 합격 등의 사례가 보고되며 기능의 우수함을 인정받았습니다. 이러한 챗GPT의 활약을 보며 세계는 인공지능을 활용한 긍정적인 변화를 그렸습니다.


보안 전문가들은 "챗GPT는 사이버 공격을 위한 코드를 제공해 안전성이 낮다"라며 "챗GPT를 둘러싼 밝은 미래 이면에는 사이버 보안 위협이 숨겨져 있다"라는 견해를 나타냈습니다.



❗ChatGPT는 사이버 공격의 무기가 될 수 있다.

캐나다 보안기업 블랙베리(Blackberry)가 북미, 영국, 호주의 CISO 1500명 대상으로 실시한 조사에 따르면, 과반 수 이상이 2023년 내 챗GPT를 악용한 사이버 공격이 급증할 것이라고 예측했다. 조사 참여자 10명 중 7명은 챗GPT의 잠재적인 활용 방안을 모색함과 동시에 어떻게 악용될 수 있는지 의식할 필요가 있다고 지적했다.

스티븐 글로브만 맥아피(McAfee) CTO는 "여느 신기술처럼 챗GPT에도 빛과 그림자가 있다. 선, 악 모둔 곳에서 활용되기 때문에 사이버 보안 담당자들은 챗GPT이 악용될 수 있다는 것을 항상 의식해야 한다"라고 주의를 촉구했다. 웹(Web) 브라우저에 접근할 수 있다면 누구라도 챗GPT를 이용할 수 있다. 사이버 공격에 대한 지식이 없는 사람일지라도 피싱메일, 악성코드 등 사이버 공격 도구를 쉽게 제작할 수 있다. 글로브만은 "챗GPT로 만든 사이버 공격 도구는 사람이 만든 사이버 공격 도구보다 성공 확률이 높다"라고 밝혔다.




물론 챗GPT에는 악용 콘텐츠 생산을 제한하는 기능이 적용되어 있다. 실제로 해킹 코드와 피싱메일 작성을 요청하면 유해한 콘텐츠라고 경고하며 작성을 거부합니다. 그래서 해커들은 오픈AI API를 활용해 악성 콘텐츠를 제작합니다. 앱 개발자에게 제공되는 오픈 AI API는 불법 콘텐츠 생산 방지책이 마련되어 있지 않다는 점을 이용한 것입니다. 실제로 다크웹과 같은 해킹 포럼에서는 오픈AI API 키를 이용해 만든 악성 콘텐츠 생성 서비스가 판매되고 있습니다.

세르게이 샤이케비치(Sergey Shykevich) 체크포인트 소프트웨어 연구원은 "챗GPT를 활용한 피싱메일, 멀웨어 제작은 AI를 활용한 악성 콘텐츠를 확산의 시초가 될 것이다. 앞으로 비윤리적인 피해를 발생시킬 수 있다" 라며 지적했습니다. 



✅ 챗GPT를 악용한 피싱 공격은 어떻게 막아야 할까

챗GPT가 빠르게 성장하면서 이제 AI가 생성한 텍스트와 인간이 작성한 텍스트의 구별이 어렵게 됐습니다. 오히려 AI가 작성한 문장이 더 낫다고 말하는 이들도 있었는데요. 맥아피 조사에 따르면 성인 3분의 2 이상이 AI툴이 작성한 연애편지와 인간이 작성한 연애편지를 분간할 수 없었습니다.

블랙베리 조사에 참가한 CISO 대부분은 빠르게 괜찮은 글을 만들어내는 챗GPT를 악용한 피싱 메일 공격이 심각하게 우려된다고 했습니다. 챗GPT로 만든 피싱메일에 당하지 않기 위해서는 내부 임직원 대상 사내 보안 교육을 실시해 보안 위협에 대한 경계를 향상 시켜야 합니다. 인증 받은 사용자에 한하여 사내 정보에 접근할 수 있는 권한을 부여하는 제로 트러스트 모델 도입도 중요합니다.

챗GPT 악용 사례는 피싱 공격에서만 그치는 것이 아닙니다. 멀웨어 생성 서비스 'Code-as-a-Service'가 세상에 등장할 가능성도 있습니다. 실제로 챗GPT를 이용해 사이버 공격 코드를 만든 사례가 있습니다.

블랙베리 조사에서도 CISO 과반 수가 "ChatGPT는 경험과 기술적 지식이 적은 해커도 쉽게 사이버 공격을 위한 도구를 만들 수 있게 해준다"라고 설명했습니다. 이전에는 사이버 범죄자가 사내 네트워크에 접근하는 데 몇 시간이 얼렸지만 지금은 수 초 이내에 코드를 만들 수 있게 된 것 입니다.



✅ 사내 직원으로부터 발생하는 위협도 항상 경계해야 한다

조직 내부에서 초래되는 사이버 보안 위협, 섀도우IT(Shadow IT)도 경계해야 합니다.
피쉬보울(Fishbowl)이 약 1만 1800명 사용자를 대상으로 조사한 결과 70%가 상사에게 보고하지 않고 생성AI 툴을 사용하고 있다고 응답했습니다. 챗GPT 뿐만 아니라 생성AI에 정보를 무분별하게 입력할 경우, 생성AI가 해당 내용을 학습해 사내 정보를 외부에 남발할 수도 있습니다.

챠드 스키퍼 브이엠웨어(VMware) 보안 담당자는 "기업이 섀도우 IT의 리스크를 경감시키기 위해서는 먼저 사내 보안 상황을 가시화하고 AI를 활용한 작업의 모든 프로세스를 파악해 지속적으로 위협에 대해 조사해야한다"고 말했습니다.




마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니  솔루션과 함께하고 있답니다.



⭐ 기업의 모든 영역을 보호할 수 있는 보안 솔루션이 필요하시다면 마크애니와 함께 해보세요!







*참고자료
ChatGPTがサイバー攻撃の武器と化す日は近い 今すぐできる防御策は?, itmedia, 2023-03-22 

「ChatGPTを使ってマルウェアを作成するサービス」をハッカーが販売中, GigaZine, 2023-02-09



마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다.




Social Media Links

솔루션 소개

둘러보기

마크애니

고객지원


(주)마크애니  서울시 중구 퇴계로 286 쌍림빌딩 13층  

(+82) 02-2262-5222ㅣ contact@markany.com  

업자 등록번호 : 101-81-47345

Copyright © 2023. MarkAny. All Rights Reserved.

솔루션 소개

둘러보기

고객지원

Social Media Links

(주)마크애니 ㅣ 서울시 중구 퇴계로 286 쌍림빌딩 13층 ㅣ
(+82) 02-2262-5222 ㅣ contact@markany.com ㅣ
사업자 등록번호 : 101-81-47345

Copyright © 2023. MarkAny. All Rights Reserved.