[뉴스토마토 김진양 기자] 올 초부터 '챗GPT'로 대표되는 생성형 인공지능(AI)에 대한 관심이 뜨거운데요. 이를 활용한 다양한 서비스들이 잇따라 출시되면서 사이버보안을 우려하는 목소리도 높아지고 있습니다. 생성형AI를 악성코드 배포 등의 나쁜 의도로 악용하는 사례가 점차 늘고 있기 때문입니다. 

 

김정희 한국인터넷진흥원(KISA) 미래정책연구실장은 13일 서울 송파구 이글루코퍼레이션에서 열린 '챗GPT 등 생성형 AI 보안 위협 대응 방안 토론회'에서 "챗GPT를 통해서 보다 정교하고 사람보다 더 프렌들리한 피싱 메일이 생성된다면 피해 규모는 더 커질 것"이라고 전망했습니다. 김 실장은 "현재 사이버 공격의 90% 이상이 피싱 메일로 시작한다"며 "한 해에 30만건 이상의 공격들이 발생하고 670억원 이상의 피해가 발생한다"고 설명했습니다. 공격자가 생성형AI를 활용한다면 대량의 피싱 메일을 손쉽게 작성하고 수정이 가능하다는 것인데요. 특히 생성형AI가 언어적 한계를 해소할 수 있기 때문에 문법적으로 자연스러워지고 정교한 피싱 메일이 기하급수적으로 늘어날 것이란 관측입니다. 

 

한국정보보호산업협회 부회장을 겸하고 있는 윤두식 지란지교시큐리티 대표 역시 이 같은 관점에 힘을 보탰습니다. 그는 "피싱메일 중에서도 사람들이 속을 수 밖에 없는 형태를 띈 것들이 크게 증가할 것"이라고 내다봤는데요. 이를테면, 배송 업체의 메일을 가장한 정교한 피싱 메일은 이용자가 무심결에 개인정보를 입력하거나 첨부파일을 다운받아 악성코드에 감염될 수 있다는 얘깁니다. 윤 대표는 텍스트 중심의 피싱 메일보다 더 위험한 것이 딥보이스를 활용한 보이스피싱이라고 언급했는데요. 현존하고 있는 딥보이스 서비스의 경우 3초 정도만 목소리를 녹음해도 그 사람을 똑같이 흉내낼 수 있는데, 만일 보이스피싱 업체들이 누군가의 자녀 혹은 부모에게 전화를 해 가족인 것처럼 속인다면 그 피해가 지금과는 비교도 되지 않게 막대해질 것이란 우려입니다. 윤 대표는"과기정통부뿐 아니라 경찰, 학계, 통신사 모두가 협력해 대응 방안을 만들지 않으면 큰 사고가 터질 것"이라고 경고의 목소리를 높였습니다. 

 

 

다만, 보안 업계에서는 이미 수 년 전부터 AI를 활용한 대비를 해왔다며 과도하게 걱정할 필요는 없다고 안심을 시켰습니다. 전성학 안랩 연구소장은 "AI를 활용하면서 하루에 나오는 악성코드가 수십만건에 이르고 있다"며 "사람이 다 볼 수는 없기에 AI에 의존할 수 밖에 없다"고 말했습니다. 5~6년전부터 방어코드 작성에 AI를 활용했다는 그는 "기계 대 기계로 가는 상황에 대한 대비가 필요하다"며 "(AI를) 빨리 활용하고 자꾸 써서 상대방의 것을 분석하고 방어하는 모델을 만들어야 한다"고 강조했습니다. 

 

한편, 챗GPT 열풍은 기업에도 보안에 대한 숙제를 안겨준 것으로 나타났습니다. 직원들이 업무에 챗GPT를 사용하려 시도하면서 회사의 기밀이나 고객 개인정보 등이 유출될 가능성이 커진 것인데요. 만약 생성형AI 입력정보에 특정 기업의 소스코드가 포함될 경우, 해커들에게 공격의 포인트가 될 수도 있다고 합니다. 

 

때문에 상당수의 대기업들은 원천적으로 사내 생성형AI  서비스 사용을 막거나 폐쇄형 서비스를 통해서만 이용이 가능하게 하는 식의 제한을 두고 있습니다. KT의 경우 생성형AI 사용 10계명을 만들어 직원들에게 배포했다고 합니다. 10계명에는 생성형AI를 활용할 경우 회사의 자료라는 것이 드러나지 않는 수준에서 정보를 입력하거나, 입력 정보가 재학습, 재배포에 이용되지 않도록 설정을 변경하는 것 등이 포함됐다고 합니다. 

 

다만 전문가들은 "서비스 이용에 제한을 두는 것은 완벽한 대안은 아니다"라고 입을 모읍니다. 윤 대표는 "PC나 웹사이트에서의 활용은 어느정도 막을 수 있겠지만 이미 전세계적으로 알려진 AI 서비스만 2만개가 넘는다"며 "차단만이 능사가 아니라 모니터링과 관리가 더 중요하다"고 말했습니다. 

 

이날 토론회를 주재한 박윤규 과기정통부 제2차관은 "생성형AI를 적극 활용해 경제사회, 기술 발전을 촉진하는 동시에 잠재적인 보안 위협에 선제적으로 대응할 필요가 있다"며 "사이버위협을 예방, 대응할 수 있는 보안체계를 구축하는 것은 최우선 아젠다로 아무리 강조해도 지나치지 않는다"고 말했습니다.  

 

김진양 기자 jinyangkim@etomato.com