챗GPT 활용한 사이버 해킹 공격, 생성형 AI 시대의 사이버 보안 전략

크리스토퍼 놀란 감독의 영화, <오펜하이머> 보셨나요? 국내에선 2023년 6월에 개봉해 관객수 300만명을 넘기며 꽤 흥행을 했던 작품인데요. 세계 최초 핵무기 개발 프로젝트인 ‘맨해튼 프로젝트’에서 주도적인 역할을 담당한 물리학자, 로버트 오펜하이머의 전기를 다룬 영화입니다.

 

오펜하이머와 팀원들은 성공적으로 원자폭탄 개발에 성공하고, 이를 통해 미국은 제2차 세계대전에서 승전국이 됩니다. 하지만 오펜하이머는 원자폭탄으로 인해 수십만 명의 사망자가 발생했다는 사실에 공포와 죄책감에 시달리는데요. 영화는 오펜하이머의 이런 인간적인 고뇌를 섬세하게 표현합니다.

 

<오펜하이머> 스틸컷, 출처 : 네이버

 

기술의 발전에는 명과 암이 존재합니다. 현재 IT 업계에서 큰 주목을 받고 있는 생성형 AI 역시 마찬가지인데요. 원자폭탄을 둘러싼 오펜하이머의 고뇌처럼, 최근 생성형 AI를 둘러싼 논쟁도 점점 심화되고 있는 모양새입니다.

 

얼마전 글로벌 해커 집단이 사이버 공격을 위해 오픈AI의 챗GPT를 활용한 것으로 드러났는데요. 이러한 사실이 공식적으로 확인된 사례는 이번이 처음이라고 합니다. 연관된 집단은 북한 정찰총국 연계 해커 조직 ‘김수키 (Kimsuky)’의 또 다른 이름인 ‘에메랄드 슬릿 (Emerald Sleet)’, 러시아 군사정보기관과 연결된 ‘숲의 눈보라 (Forest Blizzard)’, 이란 연계 조직 ‘진홍빛 모래바람 (Crimson Sandstorm)’ 등으로 파악됐습니다.

 

오픈AI의 투자업체 MS (Microsoft)는 해당 해커 집단의 서비스 접근을 즉각 차단했으며, 이들이 생성형 AI를 통해 새로운 공격 방법을 찾아냈다는 증거는 아직 발견되지 않았다고 발표했습니다.

 

생성형 AI를 활용한 사이버 범죄

 

여기서 주목할 부분은 해커 집단이 공격에 생성형 AI를 활용했다는 점입니다. 사실 생성형 AI를 기반으로 한 사이버 범죄는 이전부터 지속적으로 우려가 됐던 부분인데요.

 

가장 대표적이면서도 활용이 쉬운 예시가 바로 악성메일 템플릿 제작입니다. 이제는 특정 분야에 대한 전문 지식이 없더라도, 생성형 AI를 통해 전문가가 쓴 듯한 메일 템플릿을 작성할 수 있기 때문에 누구나 마음만 먹으면 악성메일을 제작할 수 있는 환경이 조성됐는데요.

 

악성메일뿐만 아니라, 악성코드 제작, 딥페이크 이미지 등 생성형 AI의 악용 사례는 다양하며, 이는 기술의 발전과 함께 계속해서 고도화 될 것으로 예측되고 있습니다.

 

생성형 AI를 활용한 악성메일 템플릿 제작

 

 

모든 비즈니스 활동이 AI를 중심으로 새롭게 구성되고 있는 현재 상황에서, 이러한 현상은 각 기업 및 기관의 보안 담당자 분들이 사내 보안 체계를 다시 한번 점검해야 한다는 것을 의미합니다.

 

현재 조직의 업무 환경과 산업군 내 보안 관련 동향을 철저하게 파악할 수 있어야 하고, 이를 기반으로 한 올바른 방향 설정이 그 어떤 때보다 중요한 시기인데요. 이는 크게 임직원의 보안 의식 제고와 보안 솔루션 구축 및 관리, 두 가지 방향으로 나눠볼 수 있습니다.

 

AI 시대를 위한 올바른 보안 전략 수립

 

보안의 영역엔 변수가 굉장히 많습니다. 늘 예상치 못한 방향에서 문제가 생기곤 하는데요. 대표적으로 피싱 메일을 통한 정보 유출이 있습니다. 외부 해킹 공격은 피싱 메일로부터 시작되는 경우가 대다수이며, 이는 보안 솔루션만으로는 해결되지 않는 부분입니다.

 

아무리 강력한 보안 솔루션을 갖췄다고 하더라도, 임직원들의 보안 의식 부족하다면, 이는 그 자체로 조직의 커다란 보안 리스크가 되는데요. 철저한 대비를 위해서는 보안 담당자 뿐만 아니라 사내 모든 임직원들이 피싱 메일에 대한 경각심을 가지고 있어야 합니다. 반복적인 훈련과 교육을 통해 특정 메일을 받았을 때 먼저 의심하는 습관을 길러야 하는데요.

 

특히 생성형 AI로 인해 각종 악성메일 공격이 점점 정교해지고 있는 현재 상황에서 보안 의식 제고는 무엇보다도 중요한 사항입니다.

 

악성메일을 통한 사내 중요 정보 유출

 

Mind-SAT은 악성메일 훈련 및 교육 서비스입니다. 해당 서비스는 파수 악성메일전문 컨설턴트가 훈련 전 과정에 참여하며, 고객사 업무 환경 및 산업군에 특화된 정교한 템플릿을 통해 반복적인 훈련을 진행하는데요.

 

템플릿을 활용한 단순 모의훈련뿐만 아니라, 실전훈련 및 대응까지 모두 지원한다는 차별화 된 특징이 있습니다. 훈련과 함께, 파수 악성메일 신고센터를 별도로 운영해 악성메일 유/무를 확인하고 실제 공격에 빠르게 대처할 수 있는데요.

 

또한, 신고율과 참여율 등을 확인할 수 있는 훈련 결과 보고서를 제공해 악성메일 관련 사내 보안 취약점을 점검할 수 있습니다. 즉, 보안 의식 제고와 함께 실제 악성메일 공격까지 효율적으로 대비할 수 있는 통합적인 서비스라고 생각하시면 되겠습니다.

 

파수 악성메일 훈련 및 교육, 마인드셋 | Fasoo Mind-SAT

 

Mind-SAT은 보안 교육 서비스까지 지원하는데요. 이를 통해 생성형 AI를 비롯한 AI 트렌드 파악 뿐만 아니라, 전체적인 사내 보안 취약점을 전문가와 함께 점검하고, 개선해 나아갈 수 있습니다.

 

파수 악성메일 훈련 및 교육 서비스, 마인드 셋 | Fasoo Mind-SAT

 

임직원의 보안 의식 제고와 함께, 보안 솔루션의 구축과 제대로 된 관리 또한 필요합니다. 랜섬웨어는 대표적인 사이버 공격 중 하나인데요. 지난 2월 19일에 발간된 2023년 4분기 KARA (Korea Anti-Ransomware Alliance) 랜섬웨어 동향 보고서를 통해 랜섬웨어 공격자들이 다크GPT라 불리는 WormGPT, FraudGPT 등의 생성형 AI 모델을 활용하고 있다는 사실이 밝혀지기도 했습니다.

 

랜섬웨어 대비의 필요성

 

 

FC-BR (Fasoo Content Backup and Recovery)은 랜섬웨어 대응에 최적화 된 백업 솔루션입니다. 가장 큰 특징은 사용자의 문서 편집 종료에 따른 실시간 백업을 지원한다는 점인데요.

 

백업 문서의 범위나 시간을 고려할 필요가 없기 때문에, 시간과 환경에 구애 받지 않는 효율적인 백업 체계를 구축할 수 있습니다. 백업과 함께 문서의 실시간 복구 또한 지원하기 때문에 위기 상황 속에서도 업무의 연속성을 유지할 수 있습니다.

 

또한, 문서 중심의 실시간 백업으로 백업 전/후 문서의 일관된 버전 관리를 할 수 있어 사내에 중복되거나 불필요한 문서들을 최소화 할 수 있다는 특징이 있습니다. 사내 콘텐츠 관리는 생성형 AI를 활용하기 위한 필수 조건이기도 하죠 ^^

 

파수 데이터 백업 FC-BR | Fasoo 랜섬웨어 대응 및 문서 복구

 

ChatGPT와 같은 유용한 서비스를 좋은 의도로만 사용한다면 정말 좋겠지만 ^^ 처음의 의도와 다른 상황들이 발생하게 되는 건 어쩔 수 없는 것 같습니다. 분명 더 나은 세상으로 나아가기 위해 개발된 서비스인데, 참 아이러니하죠.

AI 시대의 보안 전략에 대해 더 궁금한 점이 있으시다면, 지금 바로 문의 부탁드립니다. AI 전문기업 파수의 보안 컨설턴트가 여러분을 기다리고 있습니다!

 

파수 제품 문의하기 | Fasoo Contact Us