2024.05.13 | 생성형 AI 보안 위협? 창도 방패도 모두 생성형 AI!
 
편집장의 Comments 👀
 
Google Cloud에서 발표한 보고서 "클라우드 CSIO 퍼스펙티브: 2024년 사이버 보안 예측"에서는 생성형 AI가 2024년 사이버 보안 환경에 미치는 영향에 대해 분석합니다. 보고서에 따르면, 생성형 AI는 위협 행위자와 보안 주체 모두에게 강력한 도구가 될 가능성이 높습니다.1)

우선 위협 행위자는 생성형 AI를 통해 만든 결과물을 공격에 사용할 수 있습니다. 또 AI가 학습하는 데이터를 조작해 생성형 AI가 유해한 결과물을 생성하게 만들 수도 있죠. 더 나아가 생성형 AI의 확장 프로그램의 취약점을 활용해 위협할 수도 있습니다.

이러한 위협에 맞서 보안 주체도 대책이 필요할 텐데요, 보안 주체 또한 생성형 AI를 방어에 활용하고 있습니다. 몇몇 기업은 벌써 생성형 AI를 활용한 보안 제품, 솔루션을 선보였습니다.

오늘 에브릿띵에서는 생성형 AI를 사용한 위협 행위자들의 공격을 조금 더 구체적으로 살펴보고, 이에 대비하는 국내외 기업의 생성형 AI를 활용한 보안 솔루션 현황을 알아보겠습니다.
 
오늘의 에브릿띵 정리

  • 생성형 AI로 인한 보안 위협에는 '생성형 AI가 생성한 결과물을 활용', '생성형 AI의 학습 데이터 오염', '생성형 AI의 확장 프로그램 취약점 악용' 등이 있어요. 
  • 국내외 테크 기업들은 생성형 AI로 인한 보안 위협에 대응하기 위해 생성형 AI를 활용한 솔루션을 제공하고 있어요. 
  • 업무에 생성형 AI 사용이 늘어날 텐데요, 이에 대비하여 기업의 보안 정책 강화가 중요해지고 있어요
 
 
생성형 AI의 보안 위협 3가지 ⚠️
① 생성형 AI가 생성한 결과물 활용
과학기술정보통신부와 한국인터넷진흥원은 ‘2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망 발표’에서 2024년 사이버 보안 위협 중 하나로 ‘생성형 AI를 악용한 사이버 범죄 가능성 증가’를 꼽았습니다. 특히 생성형 AI를 활용하면 전문적인 IT 개발 지식이 없더라도 악성코드를 제작할 수 있고, 특정 비즈니스 영역에 능통하지 않아도 공격 대상을 속일 수 있을 정도로 정교하게  이메일 본문을 작성할 수 있는 점 등을 우려했습니다.2)

실제로 지난해 7월, 공격 대상을 속일 수 있는 이메일을 작성해 주는 생성형 AI인 WormGPT가 발견됐습니다. WormGPT가 작성한 이메일은 전문적인 비즈니스 언어를 사용했고 철자나 문법의 오류도 없었습니다. 해당 이메일은 피싱 사기에 쓰였죠. 기업 임직원으로 가장해 돈을 요구하거나, 개인 정보와 같은 중요한 정보를 질문하기도 했습니다. 위협 행위자들은 WormGPT를 통해 악의적인 의도를 가지고, 윤리적인 문제를 무시하며 수신자에게 맞춤 제작된 피싱 이메일을 자동으로 생성해 대량으로 배포할  수 있습니다.3)

② 생성형 AI의 학습 데이터 오염
생성형 AI의 학습 데이터를 오염시키는 방법도 있습니다. 데이터 오염(Data Pollution)은 생성형 AI 학습 데이터에 오류, 편향, 부정확한 정보 등이 포함되는 것입니다. 위협 행위자들은 의도적으로 학습 데이터에 특정 집단에 대한 차별적인 내용이나 특정 집단을 혐오하는 내용, 허위 사실, 악성코드 등을 포함시켜 학습 데이터를 오염시킵니다.

오염된 학습 데이터로 학습하면 생성형 AI의 결과물에 부정적인 영향을 끼치게 됩니다. 사실이 아닌 정보나 허위를 포함하는 데이터는 가짜 뉴스를 진짜 뉴스처럼 만드는 데 쓰일 수 있습니다. 학습 데이터에 악의적인 코드나 데이터를 삽입해, 악성 코드를 제작하게 할 수도 있죠. 더 나아가 이렇게 오염된 학습 데이터로 만들어진 결과물을 다른 생성형 AI가 학습 데이터로 활용하게 될 수도 있습니다.4) 앞서 말했던 WormGPT의 경우, 악성코드와 관련된 데이터를 중심으로 다양한 데이터 소스를 사용해 학습했습니다.

③ 생성형 AI의 확장 프로그램 취약점 활용
확장 프로그램은 웹 브라우저 기능의 동작을 변경하거나 새로운 기능을 추가하는 웹 브라우저용 프로그램을 말합니다. 비교적 익숙한 크롬의 확장 프로그램 예를 들어보면, 이미지 다운로드 프로그램, 번역 프로그램, 웹 클리퍼 프로그램 등이 있습니다.

생성형 AI도 이러한 확장 프로그램을 설치하여 사용할 수 있습니다. OpenAI의 생성형 AI인 ChatGPT의 확장 프로그램으로는 이메일 쓰기와 회신을 자동으로 처리하는 ChatGPT 라이터 등이 있습니다.

이러한 확장 프로그램을 설치할 때, 악성 코드를 함께 심어 놓는 방법이 있습니다. 이를 통해 개인 정보를 수집하거나 호스팅 서버와 스토리지 시스템을 위협하기도 합니다.5)
보안 주체의 대응, 생성형 AI로 단단한 방화벽 만들기 🧱
생성형 AI로 인해 발생하는 보안 위협에 생성형 AI로 맞서는 기업들이 있습니다.

NVIDIA는 기업이 검색 증강 생성(RAG)을 사용하는 워크플로를 제공합니다. 이는 생성형 AI의 외부 학습 데이터와 신뢰할 수 있는 지식 베이스를 참고해 결과물을 생성하도록 하는 것입니다. 신뢰할 수 있는 지식 베이스의 리소스로 조직 내부 지식 또는 특정 도메인을 활용합니다. 우선 생성형 AI가 학습 데이터를 수집하고 정제한 후, NVIDIA의 RAG 워크플로는 수집하고 정제한 데이터를 학습합니다. 그다음 지식 베이스 데이터를 학습 데이터에 연결해 결과물의 품질을 높인 후, 최종 결과물을 생성합니다. 이를 통해 생성형 AI가 잘못된 정보를 생성하거나 편향된 결과물을 만드는 것을 방지할 수 있고, 더 정확하고 유익한 결과물을 제공할 수 있습니다.6)

국내 기업인 IGLOO Corporation도 생성형 AI 기술 공격에 맞선 제품을 내놨습니다. 분류형·설명형·생성형 AI 기술을 바탕으로 AI 모델 예측 결과·근거를 자연어 형태로 설명해 주는 기술인데요. AiR라고 불리는 이 서비스는 보안 담당자가 보안 로그, 이벤트의 정탐과 오탐 여부를 명확히 판별하기 위한 기능을 제공하는 데 초점을 맞췄습니다.7)

LG CNS도 생성형 AI를 활용한 보안 솔루션이 있습니다. 바로 SecuXper입니다. SecuXper는 생성형 AI를 업무에 활용할 때 민감한 정보를 걸러내 줍니다. 민감한 정보를 ChatGPT에 실수로 입력했다고 하더라도 자동으로 걸러줍니다. 이를 통해 민감한 정보의 유출을 막을 수 있죠. 지난 5월 8일 진행한 월간 D-Talks [새로운 차원의 보안 위험에 대비하는 법]에서 변화하는 보안 환경과 위협에 대응하는 방법과 함께 SecuXper를 소개드렸습니다. 자세한 내용은 📺다시보기를 통해 확인하실 수 있습니다. 


🤔지금까지 생성형 AI와 관련된 보안 위협과, 이에 대응하는 기업의 생성형 AI 보안 솔루션에 관해 알아봤습니다. 생성형 AI로 인한 보안 위협이 발생하지만, 이러한 위협을 생성형 AI를 통해 해결하고자 노력하는 점이 흥미로웠습니다. 창도 방패도 모두 생성형 AI라는 표현이 맞겠네요. 앞으로 생성형 AI가 우리의 업무에 점점 더 많이 쓰일 텐데요, 생성형 AI로 인한 보안 위협이 존재하는 만큼, 보안을 강화하는 데에도 많은 관심을 가져야겠습니다.

1) Cloud CISO Perspectives: 2024년 사이버 보안 전망 보고서
2) 2023년 사이버 보안 위협 분석 및 2024년 전망 발표
3) 사이버 범죄 특화 생성AI ‘웜GPT’ 발견, 기업 보안 주의, ZDNET KOREA
4) 공공분야 챗GPT 활용에 따른 학습 데이터 오염과 “할루시네이션(환각)” 개선 방안, 한국행정연구원
5) 최근 핫 키워드 ‘생성형 AI’, 실제 실현 가능한 보안 위협은?
6) NVDIA 기술 블로그 Technical Brief
7) AI 사이버 공격, AI가 막는다…K시큐리티 솔루션 고도화, 전자신문

생성형 AI가 불러온 보안 문제를 소개해 드린 이번 <Every IT thing (에브릿띵)>은 어떠셨나요? 자유롭게 후기를 보내주시면 참고하여 더 나은 콘텐츠를 전달드리도록 하겠습니다.

그럼 6월 두번째 월요일에 다시 만나요!