사이버보안 ‘변곡점’ 도달…실체화된 AI 위협, 어떻게 대응해야 하나
中해커그룹, 앤트로픽 AI로 대규모 사이버공격 실행
인공지능(AI) 기술을 악용한 보안위협이 현실화되고 있다. 딥페이크 공격은 물론 AI 모델을 이용한 대규모 사이버공격까지 AI기술을 악용하는 사이버공격이 전세계에서 보고되고 있는 것이다.
앤트로픽은 최근 중국 정부의 지원을 받은 것으로 추정되는 사이버공격 그룹의 대규모 사이버공격 사례를 보고해 시선을 집중시켰다. 해당 공격은 엔트로픽의 클로드코드 툴을 사용해 정부기관과 대형기술기업, 금융기관, 화학제조기업 등 30곳 대상으로 진행됐으며, 일부 사례에서는 실제 침투에 성공한 것으로 알려진다.
엔트로픽에 따르면, 해당 공격 그룹은 단순한 조언자를 넘어 아니라 사이버공격 자체를 실행하도록 AI에이전트를 활용했다. 인간의 개입이 거의 없이 선택된 대상을 자율적으로 침해하도록 설계된 프레임워크를 개발하고 클로드코드를 자동화 도구로 사용해 사이버공격 작전을 수행하도록 했다.
엔트로픽은 “이번 공격은 인적 개입 없이 실행된 최초의 대규모 사이버공격”이라고 전하면서 “사이버 보안이 새로운 변곡점에 도달했음을 보여주는 사례”고 평가했다.
AI를 악용함으로써 공격자는 수작업의 필요성과 작업 난이도를 크게 낮췄다는 것이 앤트로픽의 분석으로, 이는 AI로 인한 위협적 사이버공격이 급증할 수 있음을 보여준다.
이번 공격에서 공격그룹은 클로드코드 AI 모델을 활용해 캠페인의 80~90%를 수행했으며, 인간의 개입은 간헐적(해킹 캠페인당 중요 결정 지점 4~6개 정도)으로 이뤄졌다.
공격 역시 AI를 활용함으로써 한층 수월하게 진행됐다. 앤트로픽의 분석에 따르면 공격이 최고조에 달했을 때 AI는 수천 건의 요청을 보내거나 초당 여러 건의 공격을 수행한 것으로 알려졌다. 이는 인간 공격자가 수행할 수 없는 공격 속도다.
이번 사례는 정교한 사이버공격을 수행하는 데 대한 장벽을 AI로 크게 낮췄음을 의미한다. 에이전트AI 시스템을 장시간 사용해 대상 시스템 분석, 익스플로잇 코드 생성, 그리고 방대한 도난 정보 데이터 세트 스캔 등 숙련된 해커가 필요한 작업을 더 효율적으로 진행할 수 있게 된 것이다.
AI 악용의 대표적 사례인 딥페이크 공격도 지속적으로 증가하고 있다. 딥스트라이크에 따르면, 딥페이크를 이용한 사기 시도는 2023년 3,000% 급증했으며, 엔트러스트사이버시큐리티인스티튜트는 지난해 전세계적으로 5분마다 딥페이크 공격이 발생한 것으로 집계하고 있다.
딥페이크는 AI기술을 바탕으로 특정 인물의 얼굴, 신체 등을 원하는 영상이나 이미지에 합성하는 생성AI 기술의 하나다. 허위 영상물이나 신분 위조 등에 활용돼 금융 범죄, 사회공학적 공격 등 사회적 문제를 야기할 수 있다. 딜로이트는 생성AI 기반 사기로, 미국에서만 2027년까지 400억달러의 피해를 예상하기도 했다.
AI혁신의 수혜로 예상되는 디지털 시대에 AI 악용 피해는 다양하게 나타날 수 있다고 경고된다. 해킹된 자동차가 운행되면서 인명 피해를 야기하거나, 악용된 AI 시스템이 경비 체제의 허점을 찾아 도난 범죄에 사용될 수 있다고 경고된다.
즉, AI 위협에 대한 대응책 마련이 시급한 상황이다. 사이버범죄에서의 AI 악용이 현실로 나타나는 상황이지만, 전세계 각국의 법률이나 국제법 등에서 AI 악용을 방지하거나 AI 악용 범죄에 대응하기 위한 움직임은 아직까지 미미한 것이다.
앤트로픽은 “AI의 등장은 사이버보안에 근본적인 변화를 불러일으키고 있다”면서 “AI는 사이버 보안 전문가들이 향후 공격을 탐지·차단·대비하는 데에도 유용하게 활용될 수 있다. 보안팀은 보안 운영 센터 자동화, 위협 탐지, 취약성 평가, 사고 대응 등의 분야에서 AI를 방어에 적용하는 실험을 시작해야 하며, 개발자들은 적대적인 오용을 방지하기 위해 AI 플랫폼 전반에 걸친 보안 강화에 지속적으로 투자해야 한다”고 강조했다.
한편, 미국에서 오픈AI와 마이크로소프트(MS)가 참여하는 초당적 AI 안전 태스크포스(TF)가 등장해 관심이 모아진다. 민주당 소속 제프 잭슨 노스캐롤라이나주 법무장관과 공화당 소속 데릭 브라운 유타주 법무장관이 공동으로, AI 개발과 활용에 대한 효과적인 안전 규제 마련을 위한 AI 안전 태스크포스(TF) 구성을 발표한 것이다.
CNN 보도에 따르면 이 AI 안전 TF에는 오픈AI, MS가 참여를 결정했으며 다른 주의 규제기관과 AI 기업들도 합류할 것으로 알려졌다.