Offcanvas

CSO / 랜섬웨어 / 로봇|자동화 / 머신러닝|딥러닝 / 보안 / 악성코드

“챗GPT, 곧 사이버 공격 대량생산에 쓰일 것” 영국 IT 의사결정자 경고

2023.02.03 Michael Hill  |  CSO
챗GPT가 전 세계에 돌풍을 일으키고 있는 가운데, 악용을 경고하는 목소리도 끊이질 않고 있다. 2016년부터 엔터프라이즈용 소프트웨어 기업으로 전향한 캐나다 IT 업체 블랙베리가 영국의 IT 의사결정권자 500명을 대상으로 벌인 설문조사에서도 비관적 전망이 두드러졌다. ITDM들은 국가 차원 해커들이 이미 챗GPT로 대대적인 해킹 캠페인을 기획 중일 것이라고 말했다. 
 
ⓒGetty Images Bankl

챗GPT 해킹 세대 나오나  

설문조사에 따르면 거의 절반(48%)에 가까운 ITDM이 향후 12개월 안에 챗GPT를 악용한 대규모 사이버 공격이 전 세계를 충격에 빠뜨릴 것이라고 경고했다. 챗GPT가 완성형 글을 쓸 수 있어 피싱 이메일이나 소셜 엔지니어링 공격을 순식간에 대량생산 하기 쉽기 때문이다. 

현재 챗GPT에게 단도직입적으로 피싱 이메일을 써달라고 요청하거나, 소셜 엔지니어링 방법을 알려달라 요청하면 윤리에 어긋난다며 답을 주지 않는다. 하지만 챗GPT의 강점이자 약점은 질문하는 만큼 답을 준다는 점이다. 간접적으로 악의적 목적에 활용할 방법은 얼마든지 있다. 예컨대 이미 써놓은 피싱 이메일을 입력하고 이와 비슷한 글을 써달라고 하면 된다. 

실제 설문조사에서도 피싱 이메일은 가장 심각한 잠재 악용 사례(57%)로 꼽혔다. 2017년 전 세계를 강타한 워너크라이(WannaCry) 랜섬웨어 같은 협박성 공격(51%)이 더 정교해질 것이며 2020년 솔라윈즈 공급망 사태 같은 소셜 엔지니어링 공격(49%)이 새로 생겨날 거라는 전망이 뒤를 이었다. 

이 외에도 영국 ITDM은 챗GPT가 새로운 세대의 위협 행위자들과 해커를 나을 수 있다고 경고했다. 이미 해킹 세계는 자동화된 해킹 도구와 패키징된 소프트웨어로 무장한 아마추어 해커를 대량 배출하고 있다. 2021년 삼성과 마이크로소프트를 뚫은 랩서스 해킹 그룹 일원들은 10대에 불과하며, “단순하기 짝이 없는” 수법을 활용한다. 

영국 IT 중 88%가 챗GPT 같은 최첨단 기술을 규제할 책임이 정부에 있다고 말했다. 
 

‘프롬프트 엔지니어링‘ - 영악한 수법에서 영악한 질문으로  

지난 13일 보안 업체 위드시큐어(WithSecure)의 연구진이 GPT-3 자연어 생성 모델과 이를 기반으로 하는 챗GPT(ChatGPT)를 사용해, 소셜 엔지니어링 공격(예: 피싱, 비즈니스 이메일 침해(BEC) 등)을 쉽게 만들 뿐만 아니라 탐지하기 어렵게 만드는 방법을 시연했다

연구진에 따르면 챗GPT 같은 AI 챗봇을 더 효과적으로 활용, 혹은 악용하기 위해 프롬프트 엔지니어링(prompt engineering)이라는 새로운 분야가 떠오를 전망이다. 챗봇 요청에 특정한 조건을 구체적으로 제시해 원하는 답변을 얻는 방법론을 말한다. 예컨대 다음과 같은 요청을 할 수 있다:
 

켈이 [사람1]에게 KPI 및 1분기 목표와 관련하여 에반과의 약속을 잡아야 한다고 알려주는 길고 상세한 이메일을 작성하라. 외부 예약 시스템 링크 [링크1]를 포함시킨다. 위의 텍스트 스타일을 사용한다.


챗GPT는 이런 요청이 악의적인 목적으로 쓰일지 알 수 없다. 연구진은 “프롬프트 엔지니어링은 아직 새로운 분야”라면서 “이 방법론이 점차 발전하면 악의적인 목적을 위해 챗GPT로 원하는 결과를 얻는 대규모 언어 모델 활용 사례가 등장할 것이다. 매우 그럴듯한 가짜 뉴스 캠페인이나 사기 행각을 초고속으로 벌일 초능력을 얻는 셈이다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.