시스템에 설치된 인공지능(AI) 모델을 활용하는 랜섬웨어(Ransomware)가 등장했다. AI의 코딩 기능을 활용해 악성 스크립트를 생성하는 방식으로, '프롬프트록(PromptLock)'이라는 이름이 붙었다.
슬로바키아의 사이버 전문 ESET은 27일 마스토돈 게시물을 통해 "최초로 알려진 AI 기반 랜섬웨어를 발견, 프롬프트록으로 명명했다"라고 발표했다.
ESET은 이 맬웨어가 '올라마(Ollama)' API를 통해 로컬 기기에 설치된 오픈AI의 오픈 모델 'GPT-OSS-20B'를 활용, 윈도우나 맥OS, 리눅스 등 운영체제에서 다양한 기능을 수행할 수 있는 스크립트를 생성한다고 소개했다.
즉, 사용자 컴퓨터에 올라마와 오픈AI 모델이 설치돼 있어야 한다는 한계는 있지만, 오픈AI 모델이 인기를 끌 것으로 예상하고 제작한 것으로 볼 수 있다.
이렇게 생성된 프로그램은 로컬 파일 시스템을 뒤져 파일을 검사하고, 선택한 데이터의 암호화를 수행한다. 파일을 파괴하는 기능은 아직 구현되지 않은 것으로 전해졌다.
이 랜섬웨어의 특징은 '루아(Lua)' 스크립트를 활용한다는 점이다. 루아는 로블록스 게임 개발에 사용하는 프로그래밍 언어이지만, 여러 플랫폼을 지원하고 성능이 뛰어난 데다 구조가 단순해 코딩에 적합하다는 장점이 있는 것으로 알려졌다.
또 대형언어모델(LLM)의 특성상, 같은 기기에서 같은 프롬프트를 입력해도 출력은 조금씩 달라진다. 이런 점은 시스템 관리자들이 대응하는 것을 어렵게 한다. 특히, 온디바이스 AI를 이용하기 때문에, 오픈AI가 랜섬웨어 운영자를 추격하는 것도 불가능하다.
다만, ESET은 "아직 실제 환경에서 작동하는 악성 코드가 아니라, 개발 중이거나 개념증명(PoC) 단계로 보인다"라고 밝혔다. "사이버 보안 커뮤니티에 이런 현황을 알리는 것이 우리의 책임"이라고 덧붙였다.
랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 사용자 컴퓨터를 해킹하거나 데이터를 암호화한 뒤 정상적인 사용을 위해 필요한 키를 조건으로 금전을 요구하는 악성코드다.
기존에는 소프트웨어를 다운로드받게 하는 방식으로 배포했지만, 이제는 내부에서 프로그램을 생성하는 식으로 진화한 것이다. 즉, 랜섬웨어에도 '바이브 코딩'이 활용된 것이다.
임대준 기자 ydj@aitimes.com
