(사진=셔터스톡)
(사진=셔터스톡)

미국 보안 전문가들이 'GPT-4'를 악용한 사이버 공격 유형을 5가지로 정리해 발표했다. 물론 더 많은 유형이 가능하다는 말도 잊지 않았다.

벤처비트는 28일(현지시간) 체크포인트리서치(CPR)가 최근 발표한 '챗GPT4의 초기 보안 분석 수행, 가속화된 사이버 범죄에 대한 잠재적 시나리오'라는 보고서를 인용해 사이버 보안 문제가 커지고 있다면서 이같은 내용을 소개했다.

이에 따르면 CPR은 '챗GPT'와 'GPT-4'를 이용한 보안 위협을 5가지 시나리오로 정리했다. 이를 억제하는 보호 수단이 있지만 일부는 쉽게 우회할 수 있어 비전문가도 큰 어려움 없이 사이버 공격을 펼칠 수 있다는 내용이다.

CPR이 밝힌 5가지 시나리오는 ▲PDF 파일을 수집해 FTP로 전송하는 C++ 악성코드 ▲은행을 사칭한 피싱 메일 ▲회사를 사칭해 직원에게 보내는 피싱 메일 ▲PHP 리버스 쉘 ▲숨겨진 파워쉘로 실행할 수 있는 퍼티(PuTTY)를 다운로드하고 실행하는 자바 프로그램 생성이다.

피싱 메일 증가가 가장 큰 문제로 꼽혔다. 은행이나 회사 사칭이 대표 사례다.

또 'PHP 리버스 쉘'도 취약점으로 지목됐다. '쉘'은 명령어와 프로그램을 사용할 때 쓰는 인터페이스다. 이를 이용해 피해자의 장치에 액세스할 수 있다는 것이다.

퍼티란 일반적인 SSH(원격 호스트에 접속하기 위해 사용되는 보안 프로토콜) 및 텔넷 클라이언트다. 일반적인 것처럼 보이지만 숨겨져 있는 자바 프로그램으로 시스템을 공격한다.

CPR은 실제로 챗GPT를 이용해 직접적인 악성 코드 및 피싱 메일을 지시해 거절당하는 사례와 이를 우회하는 실제 모습도 공개했다.

직설적인 질문으로 챗GPT에 답변을 거부당한 사례 (사진=CPR)
직설적인 질문으로 챗GPT에 답변을 거부당한 사례 (사진=CPR)
우회적인 질문으로 챗GPT의 답을 끌어낸 사례 (사진=CPR)
우회적인 질문으로 챗GPT의 답을 끌어낸 사례 (사진=CPR)

하지만 공개된 내용보다 더 많은 것들이 가능하다는 게 큰 문제로 지적됐다. 

대런 윌리엄스 블랙프로그 CEO는 "GPT-4에는 새로운 힘과 가능한 위협을 불러일으키는 흥미로운 새 기능이 많이 있다"라며 "가장 좋은 예는 멀티모달 기능의 GPT-4가 이미지 입력을 통해 악용될 수 있다는 점"이라고 말했다. 즉 '스테가노그래피(Steganography)'라는 기법을 활용하면 사진같은 일반적인 파일에 악성 코드를 포함, GPT-4를 쉽게 악용할 수 있다는 말이다.

하지만 GPT-4나 챗GPT의 문제가 아닌 사용자의 문제라는 점도 강조했다.

헥터 페란 블루윌로우 AI 부사장은 “챗GPT는 그 자체로 어떤 보안 위협도 제기하지 않는다"며 “모든 기술은 산과 악을 위해 사용될 가능성이 있으며, 보안 위협은 나쁜 사람들로부터 비롯된다”고 강조했다.

이를 방지하기 위해 AI를 통한 사이버 공격에 대한 조사 및 예방 활동을 진행하는 것은 물론 AI에 적절한 보호 장치를 추가하는 등 오용 방지를 위한 사전 조치를 취해야 한다고 설명했다.

그는 "그렇게 함으로써 잠재적인 위험을 완화하면서 AI의 이점을 극대화할 수 있다"라고 말했다. 

임대준 기자 ydj@aitimes.com

키워드 관련기사
  • MS, 'GPT-4'로 구동하는 사이버보안 도우미 출시
  • 챗GPT 등장으로 불거진 8가지 보안 문제
  • 챗GPT로 악성 코드 생성...생성 AI 악용 우려 입증