보안 전문가들은 생성형 AI의 등장으로 해커들이 전문적 지식 없이도 다양한 유형의 악성코드를 지금보다 쉽게 생성할 수 있게 됐다고 지적했다. 챗GPT는 기본적으로 부적절한 답변은 회피하도록 설계돼 있으나 해커들은 우회적인 질문으로 혼동을 일으켜 악성코드를 생성할 수 있는 것으로 알려져 있다.
해커들은 또 생성형 AI를 피싱 메일을 만드는데 악용할 가능성도 있다. 생성형 AI의 이미지 생성 기술로 가짜 로고 등을 만들어낼 수 있고 생성형 AI가 인간의 언어와 최대한 유사한 구조로 답변을 하도록 설계된 점을 악용해 피싱 메일을 실제 인간이나 특정 단체가 보낸 것처럼 위장할 수 있다.
생성형 AI에 학습시킨 데이터가 유출될 우려도 존재한다. 해커가 생성형 AI의 저장 서버를 해킹하는 경우다. 또 생성형 AI 개발사들이 AI 학습을 위해 수집한 데이터를 개인정보보호 규정 등을 어겨가며 불법적으로 처리할 가능성도 있다. 사용자가 개인 또는 기관의 기밀 정보를 AI 모델에 입력했을 때 정보가 다른 사용자에게 유출될 가능성도 제기된다.
이같은 데이터 유출 우려로 삼성전자는 지난 3월 사내 챗GPT 사용을 제한했다. DX(디바이스 경험) 부문은 사내 PC를 통한 챗GPT 사용을 아예 금지했고 DS(디바이스 솔루션) 부문은 챗GPT 사용 글자 수에 제한을 뒀다. 카카오도 개인정보, 대외비 정보를 챗GPT에 물어보는 행위를 금지시켰고 네이버도 대외비 등의 자료·정보를 챗GPT에 입력하지 말라고 경고했다.
이에대해 전문가들은 사용자들이 생성형 AI가 만든 콘텐츠에대한 변별력을 길러야 한다고 강조한다. 또 GPTZero(GPT제로)나 DetectGPT(디텍트GPT) 등 생성형 AI 콘텐츠 구별 도구를 적극 활용할 것도 권고했다.
아울러 생성형 AI를 이용할 때 주민등록번호나 신용카드 정보, 비밀번호 등 개인정보 뿐만 아니라 소속기관의 내부 민감 정보를 입력하지 않도록 주의를 당부했다. 생성형 AI 개발사들은 각국의 보안 정책에 따라 데이터 처리 방식을 점검하고 가명화, 익명화 등 개인정보보호 조치를 확실하게 적용해야 한다고 지적했다.
염흥열 순천향대 정보보호학과 교수는 "생성형 AI로 인해 해커들이 악성코드를 만들기가 쉬워진 만큼 공격 빈도도 늘어날 것으로 보인다"며 "기본적으로 의심스러운 사이트는 피하고 첨부파일을 조심하는 등 기초적인 보안수칙들을 더 잘 지킬 수 있도록 신경써야 한다"고 말했다.
이어 "KISA(한국인터넷진흥원)같은 신뢰할 수 있는 제3의 기관에서 보안 업계가 각자 수집한 공격 정보를 공유할 수 있는 장을 만들어야 한다"며 "공격자들의 기술이 발전하는 만큼 업계가 악성코드 정보를 공유하며 방어 기법을 함께 논의해야 한다"고 덧붙였다.
박태환 안랩 사이버시큐리티센터 대응팀장은 "해커들이 최근 생성형 AI의 언어구사 능력을 악용해 피싱 메일·문자 등을 고도화하는 모습"이라며 "사용자 입장에서는 기존 콘텐츠와 구별이 더욱 어려워졌다. 이메일과 문자의 발신자와 출처를 항상 확인하고 의심스러운 URL이나 첨부파일은 실행하지 않아야 한다"고 말했다.
그러면서 "막연히 두려움을 가지기 보다는 다양한 생성형 AI 서비스를 직접 이용해 보면서 생성형 AI가 만들어내는 결과물에 익숙해질 필요가 있다"며 "스스로 주의해야 할 부분을 직접 판별하는 안목을 기르는 것도 중요하다"고 조언했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]