지난해 11월, 인공지능(AI) 기반 챗봇 챗GPT가 베타 버전 출시 직후 시와 논문, 소설, 에세이 등 다양한 종류의 글 작성은 물론이고 코드 작성 능력까지 입증하여 화제가 되었다. 그러나 일각에서는 챗GPT의 악용 가능성을 우려했다. 그리고 우려는 현실이 되었다.
미국 테크 매체 Ars테크니카는 사이버 보안 기업 체크포인트 리서치(Check Point Research)의 보안 연구팀이 챗GPT를 사이버 포럼에서 감시 공격과 랜섬웨어, 악성 스팸 등 각종 사이버 공격에 악용할 소프트웨어와 이메일 작성 용도로 악용한 사례를 발견했다고 보도했다.
연구팀은 “챗GPT의 역량이 다크웹에서는 사이버 공격을 위한 새로운 인기 툴로 급부상했다. 게다가 사이버 공격 세력이 챗GPT를 악성코드 생성 수단으로 이용하는 것에 큰 관심을 보이는 추세이다. 이미 챗GPT를 악성코드 생성에 악용한 사례도 존재한다”라고 설명했다.
실제로 지난달, 어느 한 해커 포럼에서는 익명의 해커 조직 구성원이 “최초로 챗GPT를 이용해 광범위한 영역에서 공격을 개시할 수 있는 스크립트를 작성하는 데 성공했다”라고 주장하는 글이 게재됐다.
연구팀은 해당 포럼의 게시글과 관련, “스크립트는 사용자와의 상호작용 없이 타인의 기기를 암호화할 목적으로 손쉽게 수정할 수 있다. 결과적으로 스크립트나 구문 문제를 고치면, 코드가 랜섬웨어로 변질될 수 있다”라고 경고했다.
연구팀은 다른 해커가 챗GPT로 사이버 공격 후 정보 탈취가 가능한 파이썬 스크립트를 작성한 사례도 발견했다. 해커는 PDF와 같은 특정 파일 형식을 검색해, 임시 디렉터리에 복사하고 압축한 다음 공격자가 제어하는 서버로 전송하는 데 성공했다.
또, 해당 해커는 챗GPT를 이용해 자바 악성코드를 작성한 사례도 입증했다. 해커는 자바 코드 생성 사례로 SSH와 텔넷 클라이언트 PuTTY를 몰래 다운로드하여 파워셸을 사용하여 실행한 것을 입증했다.
이후 연구팀은 챗GPT를 이용해 다른 프로그래밍 언어로 악성 코드를 작성할 수 있다는 점도 확인했다. 연구팀은 “자체 연구 과정에서 엑셀 파일에 숨길 수 있는 비주얼 베이직 애플리케이션 코드 기반 악성 매크로를 개발하여 피싱 메일을 생성할 때도 챗GPT를 악용할 수 있다는 점을 확인했다. 특히, 실제 피해를 일으킬 수 있으며, 악성 코드 작성 시 공격 개시를 제외한 난이도가 높은 작업은 모두 AI가 처리했다”라고 설명했다.
한편, 매체는 “챗GPT가 사이버 공격에 악용될 수 있다는 점이 확인됐다. 그러나 챗GPT는 악성 URL을 숨긴 파일과 같이 악성 공격으로 이어질 코드를 찾아낼 방어 프로그램 코드도 작성할 수 있다”라며, “앞으로 AI를 중심으로 해킹 공격과 사이버 보안 노력의 추세가 달라질 가능성을 제시할 수 있다”라는 견해를 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
