세계일보

내년에는 인공지능(AI)과 딥페이크 기술을 악용한 사이버 공격이 전례 없는 속도로 증가할 것으로 보인다.

특히 AI를 활용한 랜섬웨어 제작, 피싱 메일 작성, 딥페이크 기반의 사회 공학적 공격 등이 고도화되면서 기업과 개인의 보안 대응 역량이 시험대에 오를 전망이다.

◆AI를 무기화하는 사이버 공격자들

이글루코퍼레이션은 10일 '내년 사이버 보안위협 및 대응 기술 전망'을 발표하며 AI 기술 발전이 사이버 공격을 자동화하고 정교화하고 있다고 경고했다.

AI를 악용한 사이버 공격은 이미 현실화됐다. 이글루코퍼레이션에 따르면, 지난 2022년 말 오픈AI의 챗GPT가 발표된 이후 랜섬웨어 생성, 피싱 메일 작성, 취약점 식별, 사기(피싱) 사이트 제작 등 다양한 공격이 AI를 통해 자동화됐다.

마이크로소프트(MS)와 오픈AI가 올해 초 발표한 자료에 따르면 중국, 이란, 북한, 러시아 등 국가의 사이버 공격 그룹이 AI를 활용한 공격에 적극 나서고 있는 것으로 확인됐다. MS와 오픈AI는 이들 그룹이 피싱과 스피어 피싱 공격, 공격 정보 검색, 시스템 프로세스 숨기기, 오픈소스 연구 등의 행위에 AI를 사용한 정황을 확인, 계정을 삭제했다는 사실을 공개했다.

지난 10월에는 오픈AI가 AI 기반 사이버 공격의 상세 절차를 공개하며, AI를 활용한 공격이 기존 보안 체계를 우회하거나 무력화하고 있다는 사실을 강조했다.

이글루코퍼레이션 측은 "이와 같은 공격 양상은 내년에도 지능형 지속 위협(APT) 공격을 포함한 다수의 사이버 공격 생태계 전반에 영향을 미칠 수 있다"면서 "자동화된 악성코드 생성 및 스피어 피싱을 통한 정교한 사이버 공격이 빈번해진다는 것을 의미하기 때문에 거대언어모델(LLM)을 둘러싼 사이버 공격 양상의 변화를 주시할 필요가 있다"고 당부했다.

◆정교하고 간편해지는 딥페이크 악용

AI 딥페이크 기술의 악용도 내년 사이버 보안의 주요 변수로 꼽힌다.

신뢰받는 인물의 얼굴과 음성을 모방한 딥페이크 기반 사회 공학적 공격이 점점 정교해지며, 기업의 고위 임원을 사칭해 금전적 손실이나 기밀 정보 유출을 유도하는 사례가 증가할 전망이다.

사회 공학적 공격은 기술적 취약점 대신 사람의 심리적, 신뢰적 허점을 악용하는 기법이다. 이를 통해 피해자가 스스로 정보를 제공하거나 특정 행동을 하도록 유도한다. 과거에는 이메일 피싱, 전화 사기, 문자 메시지 사기 등의 단순한 방법이 주를 이뤘지만, 딥페이크 기술의 발전으로 공격 양상이 새로운 국면을 맞고 있다.

딥페이크 기술은 2017년경부터 급격히 발전하며 다양한 산업 분야에서 활용되기 시작했다. 과거에는 정교한 가짜 영상을 제작하려면 고가의 전문 소프트웨어와 장시간의 편집이 필요했지만, 컴퓨터 성능의 향상과 딥러닝 알고리즘의 발전 덕분에 이제는 전문가가 아니더라도 누구나 고품질의 가짜 콘텐츠를 제작할 수 있게 됐다.

특히, 딥페이크 제작 도구는 무료 또는 저비용의 ‘플러그 앤 플레이(Plug & Play)’ 방식으로 제공되며, 기본적인 딥러닝 알고리즘이 포함된 애플리케이션과 소프트웨어가 다수 출시됐다. 이러한 도구의 대중화로 인해 개인 사용자부터 다양한 목적을 가진 공격자들에 이르기까지 접근성이 크게 증가했고, 이는 잠재적 위협 요소로 부각되고 있다.

이글루코퍼레이션 측은 "딥페이크 탐지 기술을 고도화하는 동시에 사용자 대상 교육 프로그램을 강화해 효과적인 대비책을 마련하는 것이 시급하다"고 설명했다.

<뉴시스>

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]