생성형 인공지능(AI)은 최근 각광받고 있는 기술입니다. AI 기반 챗봇 ChatGPT와 VALL-E와 같은 기타 자연어 처리 지원 시스템은 일반 대중에게 생성 AI를 선보이며 그 장점과 악영향을 동시에 드러냈습니다.
생성 AI에 대한 핵심 우려 중 하나는 악성 익스플로잇을 업그레이드하고 더 정교한 사이버 공격을 개발하는 데 사용될 수 있다는 사실입니다. 그렇다면 해커들은 공격에 생성 AI를 어떻게 사용하며, 이는 사이버 보안의 미래에 어떤 의미가 있을까요?
생성 AI란 무엇이며 어떻게 작동하나요?
이름에서 알 수 있듯이 생성 AI는 이미지, 텍스트, 오디오, 합성 데이터 등 새로운 콘텐츠를 생성할 수 있는 AI의 한 유형입니다.
사람처럼 대화하고 훌륭한 영화 추천을 받을 수 있는 AI 기반 챗봇인 ChatGPT는 유명한 예 중 하나입니다.
어려운 이메일을 대신 작성해 주거나, 번역 도구로 활용하거나, 건강한 식사 계획 도우미로 ChatGPT를 활용할 수도 있습니다. 대체로 이 챗봇은 몇 초 만에 새롭고 설득력 있는 콘텐츠를 만들어내고 정치적으로 매우 올바른 방식으로 제시할 수 있습니다.
그러나 생성 AI는 아직 인간과 같은 방식으로 창의력을 발휘할 수 없습니다. 비지도 및 반지도 머신러닝 알고리즘을 사용하여 엄청난 양의 데이터를 처리하고 맞춤형 결과물을 생성하기 때문입니다.
예를 들어, DALL-E 2와 같은 생성형 AI에 피카소와 같은 그림을 의뢰하려면 지정된 필드에 “피카소의 게르니카에 고양이가 있는 그림”과 같은 설명을 입력하고 몇 초 동안 기다려야 합니다. 그 동안 AI는 이전에 학습한 아티스트 스타일의 모든 특징을 적용하고 고양이를 추가하여 위에 보이는 그림과 같은 독창적인 결과물을 만들어냅니다.
해커는 공격에 생성 AI를 어떻게 활용하나요?
해커들은 항상 좋은 알고리즘에 매력을 느껴왔습니다. 따라서 해커들이 생성 AI를 활용하여 공격을 강화하는 것은 놀라운 일이 아닙니다. 사이버 범죄자들은 강화 학습과 생성적 적대 네트워크와 같은 머신러닝 방법을 활용하여 표준 사이버 방어 체계를 뚫을 수 있는 새롭고 정교한 사이버 공격을 개발할 수 있습니다.
이러한 변종의 한 예로 사이버 범죄자들이 악성코드를 작성하는 데 ChatGPT를 활용하는 OpenAI의 “최첨단” 챗봇이 있습니다. 처음에는 ChatGPT가 재미있고 게임처럼 보였지만 이제는 주요 보안 및 개인 정보 위협 중 하나로 드러나고 있습니다. ChatGPT로 채팅하는 것을 좋아한다면, 사이버 범죄자가 ChatGPT로 할 수 있는 일을 조심하는 것이 현명합니다.
요컨대, ChatGPT 및 기타 생성형 AI 도구는 사이버 범죄자의 삶을 더 쉽게 만들고 보안 팀의 삶을 더 어렵게 만들었습니다. 사이버 위협 행위자들이 공격에 AI를 활용하는 몇 가지 방법은 다음과 같습니다:
⭐ 더 정교한 바이러스 제작: 해커의 손에 들어간 생성 AI는 탐지하기 어려운 바이러스 변종을 생성하고 공격을 실행하는 데 사용될 수 있습니다. AI 모델과 결합하면 바이러스가 악의적인 목적을 달성할 때까지 의도를 숨길 수 있습니다.
⭐ AI 기반의 개인화된 피싱 이메일 작성: 생성형 AI의 도움으로 피싱 이메일에는 더 이상 맞춤법 오류, 문법 오류, 문맥 부족과 같은 사기의 징후가 나타나지 않습니다. 또한 위협 행위자는 ChatGPT와 같은 AI를 통해 전례 없는 속도와 규모로 피싱 공격을 시작할 수 있습니다.
⭐ 심층적인 가짜 데이터 생성: 글쓰기, 말하기, 이미지 등 인간 활동의 모조품을 그럴듯하게 만들 수 있는 인공 지능은 신원 도용, 금융 사기, 허위 정보와 같은 사기 행위에 사용될 수 있습니다.
⭐ 보안 문자 해독 및 비밀번호 추측: 사이트와 네트워크에서 무단 액세스를 시도하는 봇을 차단하는 데 사용되는 보안 문자는 이제 해커에 의해 우회될 수 있습니다. 해커는 머신러닝을 활용하여 비밀번호 추측 및 무차별 암호 대입 공격과 같은 다른 반복적인 작업도 수행할 수 있습니다.
⭐ 사이버 위협 탐지에 ML 활용: 보안 시스템이 너무 많은 오탐으로 인해 압도당하면 해커가 실제 사이버 공격으로 보안 시스템을 기습할 수 있습니다.
생성형 AI 위협에 어떻게 대응할 수 있을까요?
사이버 공격이 더욱 정교해지고 그 결과가 더욱 심각해짐에 따라 기존의 보안 시스템은 과거 시대의 물건으로 전락할 것입니다. 이전 공격으로부터 학습하고 적응할 수 있는 능력을 갖춘 AI는 사이버 범죄자와 공격자 모두에게 귀중한 자산입니다.
사이버 보안에 AI를 사용하면 더 빠른 위협 탐지, 위협 식별, 위협 대응과 같은 몇 가지 중요한 이점을 얻을 수 있으므로 불에는 불로 대응하는 것이 정답인 것처럼 보입니다. 사이버 범죄자들이 전 세계 개인과 기업에 치명적인 타격을 입히는 방법을 배우기 전에 사이버 보안 전문가는 AI 기반 시스템이 이러한 공격으로부터 자신을 보호할 수 있도록 교육해야 합니다.
하지만 모든 것이 AI에 달려 있는 것은 아닙니다. 다단계 인증(MFA), 생체 인식 기술, 비밀번호 관리자 활용, 최고로 암호화된 협업 도구 사용, 오래된 상식 등 검증된 방법을 통해 스스로 보안과 개인정보 보호를 강화할 수도 있습니다.
인공지능으로 인공지능과 싸우기
그렇다면 가까운 미래에 인공지능 사이버 보안 전쟁을 목격하게 될까요? 그렇지 않기를 바랍니다. 하지만 AI가 계속 발전하고 사이버 범죄자와 사이버 보안 전문가 모두가 AI에 접근할 수 있게 되면서 앞으로 몇 년 안에 AI와 ML의 역할이 더 커질 것입니다.