짙어지는 'AI해킹' 위협…"2024년 범죄 AI 활개"

by김가은 기자
2023.12.05 16:32:20

해킹 데이터 학습해 피싱 이메일 제작하는 '웜GPT'
생성AI로 가짜 영상, 가짜 음성 만드는 사기 행위 기승
총선 앞둔 한국, 딥페이크 방지법안 마련
보안 업계, 운영과 위협 대응 자동화 기술 개발도
'IP가 실제 공격자 맞나' 물으면 공격이력 보여줘

이호석 SK쉴더스 이큐스트(EQST) 랩(Lab) 담당이 5일 서울 광화문에서 열린 ‘2024 주요 보안위협과 대응 전략 세미나’에서 발표하는 모습(사진=SK쉴더스)


[이데일리 김가은 기자] 인공지능(AI)으로 인한 위협이 내년에 더 짙어질 전망이다. 생성형 AI로 고도화된 사이버 공격이 활개를 치는 것은 물론, 얼굴과 음성을 변조하는 ‘딥페이크·딥보이스’ 기술을 악용한 범죄도 증가할 것으로 예측되고 있어서다.

대표적인 것이 ‘웜GPT(WormGPT)’다. 이는 생성형 AI를 기반으로 하는 사이버 범죄 도구로, 챗GPT의 다크웹 버전이라고 할 수 있다. 오픈소스 언어모델 ‘GPT-J’를 기반으로 개발됐으며, 해킹·악성코드와 관련된 데이터를 대량 학습해 피싱 이메일 제작에 특화된 것으로 알려졌다. 사용법은 간단하다. 챗GPT와 마찬가지로 원하는 조건을 자연어로 입력하면 결과물을 도출하는 방식이다. 글로벌 보안업체 넷엔리치 위협연구팀이 지난 8월 발간한 보고서에 따르면 이 같은 웜GPT가 다크웹 시장과 텔레그램에서 유료로 판매되고 있다. 월 200달러 정도를 내면 살 수 있는데, 이 도구를 만든 것으로 추정되는 캐네디언킹핀12(canadiankingpin 12)그룹은 “이를 통해 수준 높은 스피어피싱 메일을 작성할 수 있다”고 홍보하고 있다.

이호석 SK쉴더스 이큐스트(EQST) 랩(Lab) 담당은 5일 열린 ‘2024 주요 보안위협과 대응 전략 세미나’에서 “올해 챗GPT가 이슈가 된 후 거대언어모델(LLM)을 활용한 AI 악용 사례가 나오고 있다”며 “피싱에 특화된 AI 모델인 ‘웜GPT’가 등장해 어눌한 말투나 맞춤법이 틀린 경우가 많았던 기존 피싱 메일 문구를 자연스러운 형태로 구사하고 있다”고 설명하기도 했다.

두 번째는 ‘딥페이크·딥보이스’ 기술을 악용한 범죄다. 가짜 얼굴이나 가짜 목소리를 입힌 동영상 또는 이미지로 유명인과 지인을 사칭해 사기 범죄를 펼치는 사례가 대표적이다. 이를테면, 가짜 가상자산을 발행한 후 AI 기술로 연예인·정치인의 얼굴과 음성을 입힌 홍보 영상을 제작해 구매를 유도하는 방식이다. 이들은 투자 규모가 커지면 가짜 가상자산을 다른 코인으로 환전한 후 일괄 판매해 수익을 얻는다. 피해는 온전히 가짜 영상에 속은 투자자들 몫이다.



AI를 활용한 가짜 얼굴과 목소리의 폐해는 선거에서도 이슈가 되고 있다. 지난달 마무리된 아르헨티나 대선에선 ‘딥페이크 공방’이 펼쳐졌다. 하비에르 밀레이 아르헨티나 대통령 당선인 측과 세르히오 마사 여당 후보 진영 모두 AI 기술을 활용해 상대를 공격했다. 이들은 서로를 겨냥해 코카인 흡입·장기 매매 옹호 발언을 하는 가짜뉴스 영상을 사회관계망서비스(SNS)에 퍼뜨렸다.

사정이 이렇다 보니, 내년 총선을 앞둔 우리나라도 AI가 선거에 미칠 악영향을 차단하기 위해 선제적 대응에 나선 상황이다. 총선 90일 전부터 딥페이크를 활용한 선거 운동을 금지하는 법안을 준비 중이다. 지난 4일 국회 정치개혁특별위원회는 법안소위를 열고 딥페이크 선거 운동을 금지하는 ‘공직선거법 개정안’을 통과시켰다. 오는 7일 법제사법위원회, 8일 본회의 문턱을 넘으면 선거 90일 전인 다음 달 11일부터 ‘AI 윤석열·AI 이재명’ 등과 같은 지난 대선 때 홍보 수단은 더 이상 사용할 수 없게 된다.

보안 업계는 근본적 대책 마련에 집중하고 있다. AI로 만들어낸 말투나 목소리, 영상을 구별하는 기술과 함께, 생성형 AI를 공격을 막는 방패로 쓰는 연구개발(R&D)도 진행되고 있다.

이재우 SK쉴더스 이큐스트 사업그룹장은 “최근 하이퍼오토메이션 흐름에 따라 생성형 AI를 방어에 사용하는 플랫폼도 출시되고 있다”며 “보안 운영과 위협 대응을 자동화하는 기술과 연계해 ‘의심되는 인터넷 주소(IP)가 실제 공격자가 맞나?’라고 물으면 이전에 수행했던 공격·악성코드 유포 이력 등을 대답해주는 방식”이라고 설명했다.

김병무 SK쉴더스 클라우드사업본부장은 “2024년은 AI로 인한 보안 위협에 적극적으로 대응해야 할 때”라며 “SK쉴더스는 전문 역량을 바탕으로 기업과 사회의 보안 의식 제고 활동에 앞장서겠다”고 강조했다.