랜섬웨어, 악성 코드 등의 멀웨어 생성...
설득력 있는 피싱 이메일 생성
이스라엘 보안 회사 체크포인트가 오픈AI의 AI 챗봇 ‘챗GPT’를 사용해 악성 코드를 작성하는 사이버 범죄 사례를 발견했다고 보안 전문매체 해크리드가 7일(현지시간) 보도했다.
보도에 따르면 해커들은 챗GPT를 사용해 강력한 해킹 도구를 구축하고 젊은 여성을 사칭해 목표물을 함정에 빠뜨리도록 설계된 새로운 챗봇을 만들고 있다.
특히 챗GPT를 사용하면 기술 전문 지식이나 코딩 지식 없이도 모든 사용자가 쿼리를 입력하고 악성 코드와 설득력 있는 피싱 이메일을 생성할 수 있다.
체크포인트가 포착한 지하 범죄 포럼의 게시물에서 한 해커는 관심 있는 파일을 훔쳐 압축하고 웹을 통해 전송하는 챗GPT로 작성된 안드로이드 악성 코드를 보여주었다. 컴퓨터에 백도어를 설치하고 손상된 컴퓨터에 더 많은 멀웨어를 업로드하는 데 사용할 수 있는 또 다른 도구도 선보였다.
한 해커는 챗GPT를 사용해 실크 로드 및 알파베이와 같은 다크 웹 시장의 코드업 기능을 만드는 방법을 공유했다 .
다른 해커는 파일을 암호화할 수 있는 파이썬 코드를 공유했으며 챗GPT가 파일을 만드는 데 도움이 됐다고 말했다. 이러한 코드는 완전히 무해한 목적으로 사용될 수 있지만 랜섬웨어가 작동하는 방식과 유사하게 누군가의 시스템을 완전히 암호화하도록 쉽게 수정할 수 있다.
또한 챗GPT를 사용해 사용자가 정보를 공유하도록 속이고 고도로 표적화된 사기 및 피싱 캠페인을 시작하는 봇 및 사이트를 구축할 수 있다.
한편 알렉스 홀든 홀드 시큐리티 설립자는 데이트 사기꾼들이 챗GPT를 악용해 설득력 있는 페르소나를 만드는 것을 목격했다고 말했다. 사기꾼들은 신뢰를 얻고 대상과 더 긴 대화를 나누기 위해 젊은 여성으로 가장하기 위해 여성 페르소나를 만들고 있다.
오픈AI는 이에 대한 논평 요청에 응답하지 않고 있다.
챗GPT로 코딩된 도구는 매우 기본적인 것으로 보였지만 체크포인트는 더 정교한 해커가 AI를 활용하는 방법을 찾는 것은 시간 문제라고 말했다. 챗GPT는 기본적이지만 효과적으로 멀웨어를 구축할 수 있어 초보자가 불법 시장에 진입하는 진입 장벽을 낮출 것이라고 경고했다.
또 피해자의 데이터를 훔치는 코드를 만드는 대신 챗GPT를 사용해 사용자를 속여 정보를 공유하도록 하는 웹사이트와 봇을 만드는 데 사용할 수 있다는 추가 우려를 제기했다.
세르게이 쉬케비치 체크포인트 인텔리전스 연구원은 챗GPT가 영어에 능숙하지 않은 러시아 해커가 합법적인 것처럼 보이는 피싱 이메일을 만드는 데 훌륭한 도구가 될 것이라고 말했다.
쉬케비치는 궁극적으로 규제를 통해 챗GPT의 범죄적 사용에 대한 보호가 시행되어야 한다고 말했다.
예를 들어 오픈AI는 정책 위반 경고가 있는 스파이웨어를 빌드하라는 요청을 방지하는 몇 가지 제어 기능을 구현했지만 해커는 이러한 보호 기능을 우회하는 방법을 찾았다.
쉬케비치는 오픈AI와 같은 회사가 그러한 남용을 감지할 수 있도록 AI를 훈련하도록 법적으로 강제되어야 한다고 주장했다.
박찬 위원 cpark@aitimes.com
무단전재 및 재배포 금지
기사제보 및 보도자료 news@aitimes.com