경고등 켜진 챗GPT 활용 범죄, 하지만 “크게 우려할 단계는 아냐”
생성형 AI ‘챗GPT’ 범죄 활용 우려 커져 실제 악용 사례도 속출, 피싱 가능성 늘었다 일각에선 문제없단 의견도 “어차피 피싱은 이전부터 있었다”
생성형 AI ‘챗GPT’가 세계적인 영향력을 행사하고 있는 가운데, 일각에서 챗GPT가 사이버 범죄의 도구로 활용될 수 있다는 우려가 제기됐다. 일부 보안 업체들은 이미 챗GPT를 이용한 해킹 정황을 파악해 주의를 촉구하고 나선 것으로 알려졌다.
챗GPT 범죄 벌써 3차례, 이대로 괜찮나
보안 업체 체크포인트는 최근 ‘2023년 시큐리티 보고서’를 발표하며 챗GPT 활용 사이버 범죄에 경종을 울렸다. 체크포인트는 “챗GPT 등 생성형 AI 도구가 사업 범죄자들에 의해 조작될 가능성이 있다”며 “러시아 사이버 범죄자들은 이미 오픈 AI의 API 제한을 우회하고 악의적 의도로 챗GPT에 접근했다. 이런 사례가 벌써 3번이나 입증됐다”고 강조했다.
체크포인트가 발견한 첫 번째 사례는 악성코드 생성이다. 챗GPT를 이용해 다른 사용자의 모바일 기기에 저장된 PDF 파일을 탈취하거나, C++ 프로그램 언어를 기반으로 파일 전송 시스템을 장악해 원격 서버로 빼돌릴 수 있도록 악성코드를 만든 것이다.
두 번째 사례는 암호화 도구를 생성한 것이다. 체크포인트가 밝힌 바에 따르면 챗GPT가 만든 암호화 도구에서 약간의 수정만 거치면 다른 사용자의 컴퓨터를 완전히 암호화해 무력화시키는 랜섬웨어를 만들 수 있다. 체크포인트는 이 랜섬웨어를 만든 이가 이미 다른 사용자의 데이터베이스를 훔쳐 팔아치웠다고 설명했다.
세 번째 사례는 챗GPT로 다크웹 마켓플레이스를 구축, 불법 거래를 자행한 것이다. 해당 마켓플레이스는 도난 계좌·카드, 악성코드, 마약 및 탄약 같은 불법 장물의 거래장소로 쓰인 것으로 알려졌다. 마켓플레이스 개설자는 암호화폐 결제를 유도해 발각될 우려를 최소화했다.
체크포인트의 마야 호로위츠 연구 담당 VP는 “앞으로 12개월간 사이버 공격이 더욱 증가할 것”이라며 “러시아 사이버 범죄자들의 챗GPT 활용 사례에서 이미 입증됐다. 사이버 기술 격차 확대와 분산 네트워크 복잡성 증가가 여기서 더 가중되면 우리는 사이버 범죄자들로부터 완벽한 폭풍을 맞게 될 것”이라고 강하게 경고했다.
오픈AI 문제 인식 나섰지만, 여전히 우려↑
문제가 심각해지자 챗GPT를 만든 오픈AI 측도 대처에 나섰다. 샘 알트만 오픈AI CEO(최고경영책임자)는 지난 18일 ABC뉴스 인터뷰를 통해 “챗GPT의 위험도가 상대적으로 낮을 때 가능한 많은 걸 배워야 한다”며 “오픈AI 내 정책팀과 안전팀이 있지만 생성형 AI를 우리만 만드는 게 아니지 않나. 세계 주요 정부와 신뢰할 수 있는 국제기구 대표자들이 모여서 생성형 AI에 대한 규제 가이드라인을 만들어야 한다”고 제안했다.
그러나 챗GPT에 대한 우려는 여전히 끊이지 않는다. 챗GPT로 인해 점차 피싱 사이트의 전문화가 이뤄지고 있기 때문이다. 당초 피싱 사이트를 판가름하기 위한 가장 큰 특징 중 하나가 형편없는 문장과 문법 오류였다. 해외에서 활동하는 범죄 조직들이 모국어가 아닌 외국어로 피싱 사이트를 개설하다 보니 어색할 수밖에 없는 것이다. 그러나 챗GPT의 등장으로 이 모든 것이 바뀌었다. 이제 해당 언어가 모국어가 아닌 범죄 조직들도 문법적으로 정확하고 신뢰할 만한 문장을 구사할 수 있게 됐다.
사이버 보안 회사 다크트레이스는 “챗GPT 출시 이후 피해자를 속여 악성 링크 클릭을 유도하는 공격은 감소했으나 그 텍스트의 언어적 복잡성은 늘었다”며 “사이버 범죄자들이 (사용자의 신뢰를 악용하는) 보다 정교한 사회 공학 사기를 만들어내는 데 집중하고 있음이 드러나고 있는 것”이라고 지적했다. 이어 “챗GPT는 아직 위협 행위자의 진입 장벽을 크게 낮추지는 않았다”며 “그러나 피싱 메일의 정교함을 높이는 데 도움이 됐을 수 있으며, 궁극적으로 공격자가 성공적인 공격을 만드는 데 일조할 가능성이 크다”고 강조했다.
실제 최근 악성 해커들은 챗GPT를 적극 활용하고 있다. 인터넷 보안 업체 노드VPN에 따르면, 다크웹에 챗GPT 관련 문의가 올해 1월 120건에서 2월 870건으로 무려 625% 늘었다. 게시물은 주로 챗GPT를 해킹하거나 유인 도구로 활용하는 방법, 챗GPT로 악성코드를 퍼뜨리는 방법 등을 공유하는 내용들이었다. 이를 보면 챗GPT를 이용한 악의적인 사이버 공격이 만연한 시대가 도래할 가능성도 결코 적다 할 수 없다.
챗GPT 사이버 범죄, 의외로 문제 될 것 없다?
다만 일각에선 챗GPT에 의한 사이버 범죄 성장이 크게 문제 될 것 없다는 반응도 보인다. 사이버 범죄는 이미 오래전부터 있었고, 이를 조심하고 경계해야 하는 건 같아 결국 이전과 크게 달라질 게 없다는 것이다.
실제로 피싱 사이트 등 사이버 범죄 문제는 비단 ‘챗GPT 시대’에서만 일어나던 문제가 아니다. 유통 기업을 사칭한 피싱 사이트가 기승을 부리고 있다는 이야기는 이미 2000년대부터 꾸준히 나오고 있었다. 지난해 12월엔 홈플러스, SK스토아, 롯데홈쇼핑 등 유통업계의 상호를 도용해 네이버 스마트스토어를 개설, 이용자들의 돈을 가로챈 일당이 법적 조치를 받기도 했다.
챗GPT 자체의 위험도가 아직 크게 높지 않다는 점도 일각의 우려를 잠재우는 데 일조했다. 한 보안 전문가는 “국내에서 챗GPT를 이용해 악성코드를 만드는 등 모의 테스트를 진행해봤으나 답변이 정확하지 않은 부분들이 있었다”며 “앞으로 충분히 악용의 소지가 높은 편이라고 보는 게 맞겠지만, 아직 크게 우려할 단계는 아니다”라고 밝혔다.
2022년, 러시아-우크라이나 전쟁의 장기화로 인해 사이버 공격 사례는 최고치에 달했다. 격동의 한 해였다. 관련 보고서에 따르면 지난해 사이버 공격은 전년 대비 38%나 증가했다. 앞으로 챗GPT까지 사이버 범죄에 가세한다면 어떤 결과가 초래될지 가늠조차 안 될 지경이다. 그러나 우리는 지금까지 여러 범죄 조직들의 피싱을 이겨내 왔다. 마찬가지로 챗GPT를 활용한 피싱에도 대응 방법을 찾을 수 있을 것이다. 지금껏 잘 헤쳐왔던 만큼 챗GPT 시대도 잘 견뎌낼 수 있으리라 믿어 의심치 않는다.
