By LILY HAY NEWMAN, WIRED US
4월 24일부터 27일(현지 시각)까지 샌프란시스코에서 개최된 RSA 보안 컨퍼런스(RSA security conference) 현장에서는 불가피하다는 분위기가 형성되었다. 컨퍼런스 개최 장소인 모스콘 컨벤션 센터(Moscone convention center)의 회담과 패널 회의, 행사장 내 모든 공급사 부스, 홀에서 진행된 가벼운 대화 현장에서는 생성형 AI와 생성형 AI가 디지털 보안 및 악성 해킹에 미칠 잠재적 영향력이 대화 주제가 되었다. 미국 국가안전보장국(NSA) 사이버보안 책임자 롭 조이스(Rob Joyce)도 생성형 AI의 보안 문제에 대비할 수밖에 없다고 생각한다.
조이스는 연례 ‘해킹 실태’ 프리젠테이션 도중 “RSA 보안 컨퍼런스 현장을 돌아다니면서 AI와 멀웨어를 이야기할 수밖에 없다. AI와 멀웨어가 급격히 증가했다. 아직 AI와 멀웨어의 영향력이 인간에게 전달되지 않았으나 실제로 획기적인 변화를 가져올 기술이라고 본다”라고 말했다.
지난 몇 달간 오픈AI의 챗GPT처럼 대규모 언어 모델을 기반으로 개발된 챗봇의 등장과 함께 다년간의 머신러닝 기술 개발, 연구가 더 확고한 수준으로 발전하면서 전 세계 인터넷 사용자 누구나 접근할 수 있는 기술이 되었다. 그러나 악의를 지닌 세력이 생성형 AI라는 새로운 툴을 조작하거나 악용하여 멀웨어를 개발하고 널리 유포할 수 있다는 문제점과 거짓 정보와 가짜 콘텐츠를 제작하게 될 문제점, 공격자의 해킹 자동화 능력 확장 가능성을 둘러싼 실질적인 의문이 제기되었다.
조이스는 NSA 내부에서 생성형 AI가 피싱과 같은 심각한 사기를 유발할 것으로 예상한다고 전했다. 생성형 AI를 동원한 사이버 공격은 설득력과 흥미를 유발하는 콘텐츠에 의존해 피해자가 공격자의 공격을 수월하게 개시하는 데 의도치 않은 도움을 줄 수 있다. 결과적으로 생성형 AI는 재빨리 맞춤형 커뮤니케이션과 콘텐츠 제작이라는 확실한 사용 목적이 있다.
조이스는 “영어를 유창하게 구사하지 못하는 러시아 해커 조직이 더는 어설픈 피싱 메일을 작성하고는 특정 기업 직원에게 보내는 일이 없을 것이다. 원어민과 같은 수준의 영어 문장과 설득력을 갖춘 피싱 메일을 작성하고, 피싱 감지 테스트를 피할 수 있을 것이다. 오늘날 발전한 수준이다. 앞으로 국가 산하 해커 조직과 사이버 범죄 조직 모두 많은 적이 챗GPT로 생성한 영문 피싱 메일 유포 기회를 실험하기 시작할 것이다”라고 전망했다.
반면, AI 챗봇이 처음부터 새로운 멀웨어를 완벽하게 사이버 공격 무기로 이용하지는 못할 것이다. 다만, 조이스는 공격자가 AI 챗봇 플랫폼의 코딩 기술을 이용해 비교적 사소한 변경 사항으로 큰 피해를 줄 수 있을 것이라고 내다보았다. 생성형 AI로 기존 멀웨어를 수정하여 바이러스 방지 소프트웨어가 인식하고는 새로운 공격 프로그램을 경고하지 못할 정도로 멀웨어의 특성과 행동을 변경할 수 있다.
조이스는 “코드를 재작성하고, 그에 따라 서명과 특성을 자체적으로 변경하는 데 도움이 될 것이다. 또, AI 챗봇은 조만간 사이버 보안 전문가의 공격 방어에 맞설 것이다”라고 내다보았다.
조이스는 방어 측면에서 생성형 AI가 빅데이터 분석, 자동화 작업에 도움이 될 가능성을 기대할 수 있다고 본다. 그는 생성형 AI가 방어 속도를 높일 수단으로 실질적인 희망을 보여줄 세 가지 영역을 제시했다. 바로 ‘디지털 기록 스캔’, ‘취약점 악용 패턴 발견’, ‘기관의 보안 문제 우선순위 파악 도움’이다. 그러나 조이스는 방어자와 사이버 보안계가 일상에서 생성형 AI에 광범위하게 의존하기 전, 생성형 AI 시스템 조작 및 악용 방식을 연구해야 한다고 경고했다.
무엇보다도 조이스는 현재 AI와 보안의 불분명하면서 예측할 수 없는 특성을 강조하며, 보안계에서 아직 발생하지 않은 상황에 철저하게 대비해야 한다고 경고한다.
조이스는 “AI의 마법과 같은 역량이 모든 요소를 마구 이용할 수 있을 것으로 기대하지 않는다. 다만, 내년 보안 컨퍼런스에서 생성형 AI가 사이버 보안에 미치는 영향을 검토하기 위한 대화를 한다면, 생성형 AI를 사이버 공격 무기로 악용한 때와 악용된 순간, 생성형 AI로 사이버 보안 피해를 일으킨 사례 등을 대거 이야기할 것으로 예상한다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
NSA Cybersecurity Director Says ‘Buckle Up’ for Generative AI
4월 24일부터 27일(현지 시각)까지 샌프란시스코에서 개최된 RSA 보안 컨퍼런스(RSA security conference) 현장에서는 불가피하다는 분위기가 형성되었다. 컨퍼런스 개최 장소인 모스콘 컨벤션 센터(Moscone convention center)의 회담과 패널 회의, 행사장 내 모든 공급사 부스, 홀에서 진행된 가벼운 대화 현장에서는 생성형 AI와 생성형 AI가 디지털 보안 및 악성 해킹에 미칠 잠재적 영향력이 대화 주제가 되었다. 미국 국가안전보장국(NSA) 사이버보안 책임자 롭 조이스(Rob Joyce)도 생성형 AI의 보안 문제에 대비할 수밖에 없다고 생각한다.
조이스는 연례 ‘해킹 실태’ 프리젠테이션 도중 “RSA 보안 컨퍼런스 현장을 돌아다니면서 AI와 멀웨어를 이야기할 수밖에 없다. AI와 멀웨어가 급격히 증가했다. 아직 AI와 멀웨어의 영향력이 인간에게 전달되지 않았으나 실제로 획기적인 변화를 가져올 기술이라고 본다”라고 말했다.
지난 몇 달간 오픈AI의 챗GPT처럼 대규모 언어 모델을 기반으로 개발된 챗봇의 등장과 함께 다년간의 머신러닝 기술 개발, 연구가 더 확고한 수준으로 발전하면서 전 세계 인터넷 사용자 누구나 접근할 수 있는 기술이 되었다. 그러나 악의를 지닌 세력이 생성형 AI라는 새로운 툴을 조작하거나 악용하여 멀웨어를 개발하고 널리 유포할 수 있다는 문제점과 거짓 정보와 가짜 콘텐츠를 제작하게 될 문제점, 공격자의 해킹 자동화 능력 확장 가능성을 둘러싼 실질적인 의문이 제기되었다.
조이스는 NSA 내부에서 생성형 AI가 피싱과 같은 심각한 사기를 유발할 것으로 예상한다고 전했다. 생성형 AI를 동원한 사이버 공격은 설득력과 흥미를 유발하는 콘텐츠에 의존해 피해자가 공격자의 공격을 수월하게 개시하는 데 의도치 않은 도움을 줄 수 있다. 결과적으로 생성형 AI는 재빨리 맞춤형 커뮤니케이션과 콘텐츠 제작이라는 확실한 사용 목적이 있다.
조이스는 “영어를 유창하게 구사하지 못하는 러시아 해커 조직이 더는 어설픈 피싱 메일을 작성하고는 특정 기업 직원에게 보내는 일이 없을 것이다. 원어민과 같은 수준의 영어 문장과 설득력을 갖춘 피싱 메일을 작성하고, 피싱 감지 테스트를 피할 수 있을 것이다. 오늘날 발전한 수준이다. 앞으로 국가 산하 해커 조직과 사이버 범죄 조직 모두 많은 적이 챗GPT로 생성한 영문 피싱 메일 유포 기회를 실험하기 시작할 것이다”라고 전망했다.
반면, AI 챗봇이 처음부터 새로운 멀웨어를 완벽하게 사이버 공격 무기로 이용하지는 못할 것이다. 다만, 조이스는 공격자가 AI 챗봇 플랫폼의 코딩 기술을 이용해 비교적 사소한 변경 사항으로 큰 피해를 줄 수 있을 것이라고 내다보았다. 생성형 AI로 기존 멀웨어를 수정하여 바이러스 방지 소프트웨어가 인식하고는 새로운 공격 프로그램을 경고하지 못할 정도로 멀웨어의 특성과 행동을 변경할 수 있다.
조이스는 “코드를 재작성하고, 그에 따라 서명과 특성을 자체적으로 변경하는 데 도움이 될 것이다. 또, AI 챗봇은 조만간 사이버 보안 전문가의 공격 방어에 맞설 것이다”라고 내다보았다.
조이스는 방어 측면에서 생성형 AI가 빅데이터 분석, 자동화 작업에 도움이 될 가능성을 기대할 수 있다고 본다. 그는 생성형 AI가 방어 속도를 높일 수단으로 실질적인 희망을 보여줄 세 가지 영역을 제시했다. 바로 ‘디지털 기록 스캔’, ‘취약점 악용 패턴 발견’, ‘기관의 보안 문제 우선순위 파악 도움’이다. 그러나 조이스는 방어자와 사이버 보안계가 일상에서 생성형 AI에 광범위하게 의존하기 전, 생성형 AI 시스템 조작 및 악용 방식을 연구해야 한다고 경고했다.
무엇보다도 조이스는 현재 AI와 보안의 불분명하면서 예측할 수 없는 특성을 강조하며, 보안계에서 아직 발생하지 않은 상황에 철저하게 대비해야 한다고 경고한다.
조이스는 “AI의 마법과 같은 역량이 모든 요소를 마구 이용할 수 있을 것으로 기대하지 않는다. 다만, 내년 보안 컨퍼런스에서 생성형 AI가 사이버 보안에 미치는 영향을 검토하기 위한 대화를 한다면, 생성형 AI를 사이버 공격 무기로 악용한 때와 악용된 순간, 생성형 AI로 사이버 보안 피해를 일으킨 사례 등을 대거 이야기할 것으로 예상한다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
NSA Cybersecurity Director Says ‘Buckle Up’ for Generative AI
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다