인공지능(AI)의 발전은 ‘초보 해커’도 사이버 공격자가 되는 길을 터주고 있다. 자연어 명령만으로 코드를 생성하는 ‘바이브 코딩’처럼 AI가 악성코드나 보안 우회 전략 등을 설계하는 ‘바이브 해킹’이 전 세계적으로 확산하는 중이다. 국내에서도 이미 업종을 가리지 않고 해킹 사고가 끊이지 않는 상황에서 AI를 활용한 사이버 침입까지 더해지면 그 위험성이 걷잡을 수 없이 커질 수 있다는 우려가 나온다.
인간 해커가 지시를 내리고 AI가 공격 절차를 수행한 사례는 이미 현실로 나타났다. 미국 AI 스타트업 회사 앤트로픽은 지난 9월 중국 지원을 받은 것으로 추정되는 해커들이 자사 모델 ‘클로드’를 활용해 세계 각국의 정부기관과 빅테크 기업, 금융기관 등 30곳에 침투를 시도했다고 밝혔다. 공격자들은 자신들이 보안 회사 직원인 것처럼 가장해 클로드를 속인 뒤 보호장치 역할을 하는 ‘가드레일’을 우회했다. 이후 정찰과 취약점 탐색, 데이터 탈취, 보고까지 자동으로 실행하는 ‘해킹 엔진’을 만든 것으로 추정된다. 앤트로픽에 따르면 공격자들은 “계속해” “그만해” “이게 맞아?” 등 최소한의 명령어만으로 AI를 조종했다.
AI는 초보 해커들에게도 진입 장벽을 낮추는 ‘무기’가 된다. 글로벌 보안기업 팔로알토네트웍스는 최근 공개한 보고서에서 윤리적 제약 없이 설계된 악성 거대언어모델(LLM)을 분석했다. 이 중 ‘웜GPT 4’와 ‘카와이GPT’ 경우 기본적인 악성코드를 작성하고 언어 장벽을 뛰어넘은 피싱 이메일을 생성해 낮은 수준의 해커들에게 매우 유용하다는 평가를 받았다. 전문가들은 해커들이 이런 선행 모델을 기반으로 새로운 도구를 활발하게 개발 중이라고 설명했다.
AI로 이미지나 텍스트를 생성하는 기능도 해커들의 치명적인 공격 도구로 악용될 수 있다. 북한 해킹조직 ‘페이머스 천리마’의 경우 생성형 AI를 활용해 지난해에만 320개 이상의 기업에 잠입하는 데 성공했다. 이들은 AI로 만든 가짜 이력서와 딥페이크 인터뷰 자료, 기술 평가 답안을 활용해 소프트웨어 개발자로 위장 취업했다. 또 취업 이후에도 업무 수행 전반에 AI를 활용하며 미숙한 영어 실력 등을 숨긴 것으로 알려졌다.
AI를 활용한 사이버 공격으로 인한 금전적 손실 역시 기하급수적으로 커질 전망이다. 시장조사기관 사이버시큐리티 벤처스는 올해 사이버 범죄로 인한 전 세계 손실액이 10조5000억달러(1경5435조원)에 달하고 2031년에는 12조2000억달러(1경8000조원)에 이를 것으로 전망했다. 천문학적 피해 규모에 대응하기 위해서는 국가 차원의 체계적 대응이 필수적이라는 지적도 나온다. 정보통신기획평가원(IITP)은 지난 7월 발표한 ‘AI·ICT 브리프’ 보고서를 통해 “AI 보안 기술의 주도권 확보와 국가 차원의 회복 탄력성 강화를 위한 적극적인 선제 전략 수립이 필요하다”고 지적했다.
박선영 기자 pomme@kmib.co.kr