MS "북한·중국·러시아·이란 해커들이 '챗GPT' 활용"

북한과 중국, 러시아, 이란 등에서 국가 지원을 받는 해커 집단들이 오픈AI의 '챗GPT'를 활용하는 것으로 공식 확인됐다. 해커들이 능력 강화를 위해 오픈AI 도구를 사용한다는 보고는 자주 등장했으나, 마이크로소프트(MS)와 오픈AI가 이를 직접 확인한 것은 이번이 처음이다.

로이터는 14일(현지시간) MS가 북한 등 4개국 정부와 연계된 해킹 그룹이 오픈AI의 대형언어모델(LLM)을 사용해 해킹하려는 시도를 추적했다고 보도했다.

MS는 이날 공개한 보고서에서 북한 정찰총국 연계 해커조직 '에메랄드 슬릿(Emerald Sleet)'이 LLM을 사용해 해킹 활동을 고도화하는 것을 탐지했다고 밝혔다. 

이 집단은 일명 ‘킴수키(Kimsuky)’라 불리며 지난해 악명을 떨친 곳으로, 킴수키 이외에도 ‘탈륨’ ‘벨벳’ ‘천리마’ 등의 이름으로 활동한 것으로 알려졌다.

또 러시아 군사정보기관가 연결된 '숲의 눈보라(Forest Blizzard)', 이란 혁명수비대의 '진홍빛 모래바람(Crimson Sandstorm)', 중국의 '숯 태풍(Charcoal Typhoon)' 등이 거론됐다.

MS는 국가지원 해킹 그룹의 AI 사용을 전면 금지했다. 국가 연계 해커들의 AI 활용량과 정지된 계정 수는 알려지지 않았다.

해커들의 자사 AI 툴 사용이 아직은 초기 단계이며, 사이버 스파이 활동에 큰 변화는 없는 것으로 보고 있다. MS는 “해커집단들의 챗GPT 이용 사실을 감지하고, 이들의 사이트 접근을 차단했다”라며 “이들이 새로운 공격 방법을 찾아냈다는 증거는 아직 발견되지 않았다"고 설명했다.

대신 "해커들도 일반 컴퓨터 사용자들처럼 생산성을 높이는 데 오픈AI를 사용한 것”이라고 설명했다. 해킹 조직들이 피싱 이메일을 작성하거나 기술적 문제 해결을 위한 정보 수집에 챗GPT를 사용했다는 말이다.

이를 통해 국가 지원 사이버 조직들이 공개된 AI 기술을 이용해 해킹 능력을 향상하고 있다고 진단했다.

GRU로 알려진 러시아 군사첩보기구와 연계된 해커들이 LLM을 이용해 우크라이나에서 재래식 전쟁과 연관된 다양한 위성 및 레이더 기술을 추적한 것을 예로 들었다. 

북한 해커들은 평판이 좋은 학술 기관이나 NGO를 사칭해 특정인을 목표로 하는 피싱 공격인 ‘스피어 피싱’을 벌인 것으로 확인했다. 북한에 대한 지식을 가진 개인들에게 메일을 보낼 때 오픈AI의 LLM을 활용해 피해자가 답장을 보내도록 유인했다는 것이다.

또 이란 해커들은 부비트랩이 설치된 웹사이트에 저명한 페미니스트를 유인하는 메시지나 이메일 작성에 사용했고, 중국 해커들은 경쟁 관계에 있는 정보기관이나 사이버보안 문제, 특정 인사에 대한 질문을 할 때 LLM을 시험했다.

밥 로스테드 오픈AI 사이버 보안 위협 인텔리전스 총괄은 “이것은 AI 회사가 나서서 사이버 보안 위협 행위자가 AI 기술을 사용하는 방법을 공개적으로 밝힌 첫 사례 중 하나”라고 말했다.

박찬 기자 cpark@aitimes.com