일러스트=이은현

대화형 인공지능(AI) 챗봇 ‘챗GPT’가 해킹 도구 개발의 진입장벽을 낮춰 사이버공격 등 온라인 범죄에 악용될 수 있다는 경고의 목소리가 나온다.

챗GPT는 미국의 ‘오픈AI’가 개발한 인공지능(A) 챗봇이다. 그간 챗봇이 기계적으로 대화한 것과 달리 진짜 사람처럼 맥락을 읽고 대화가 가능하며, 논문 작성 등 고도화된 업무도 가능하다고 알려졌다. 그러나 이러한 기술이 발전하면서 일부 해커가 실제 온라인에서 더 발전한 형태의 피싱 이메일을 작성하고 악성코드를 개발하는 등 악용 사례도 포착되고 있다.

캐나다의 사이버보안업체 블랙베리는 지난 2일 정보기술(IT) 전문가 중 51%가 챗GPT를 활용한 성공적인 사이버공격이 1년 내 발생할 것이라고 예측했다고 밝혔다. 블랙베리에 따르면 북미, 영국 등의 IT 전문가 1500명 중 74%는 챗GPT가 사이버보안 측면에서 위협적인 존재가 될 가능성이 있다고 답했다.

전문가들은 특히 챗GPT를 통해 해커가 기존보다 더 신뢰할 수 있고 적법한 것처럼 보이는 피싱 이메일을 만들 수 있게 될 것이라고 설명했다. 예컨대 과거 해커가 보내는 피싱 이메일은 “친애하는 A씨” 등 한국어로는 어색한 번역 투가 그대로 담겨 ‘스팸 메일’로 프로그램이나 개별 이용자가 바로 분류하는 것이 쉬웠다. 그러나 챗GPT를 해커가 활용해 보다 자연스러운 한국어로 피싱 이메일을 보내면 스팸 필터에서 걸러지는 비율이 확연히 낮아질 것이라고 전문가들은 설명했다.

더불어 해킹 진입 장벽이 낮아지면서 전문성이 부족한 초보 해커까지도 챗GPT를 활용해 부족한 기술적 배경지식과 전문 기술을 보완할 가능성이 크다고 전문가들은 지적했다. 고도화된 해킹 도구를 스스로 만들지 못하는 사람까지도 챗GPT를 활용해 쉽게 악성코드 등을 만들어내 범죄에 악용할 수 있다는 것이다.

실제 해커가 챗GPT를 활용한 사례 역시 포착되기도 했다. 이스라엘 사이버보안업체 체크포인트는 지난 1월 해커가 활동하는 사이버 포럼 등 공간에서 챗GPT가 악성코드나 피싱 메일 등 해킹도구를 개발하는 데 활용됐다고 밝혔다.

체크포인트 측은 “챗GPT를 활용한 대부분의 사이버 범죄자는 개발 역량이 전혀 없는 경우도 많았으며, 아직 이들이 AI를 통해 만들어 낸 해킹 도구는 기초적인 수준에 불과하다”라며 “그러나 악용될 소지가 있는 AI를 활용한 도구가 더 고도화되는 것은 시간문제다”라고 경고했다.

실제 해커가 활동하는 온라인 포럼에 한 해커는 “최근 챗GPT로 멀웨어(유해 소프트웨어)를 개발하기 위해 다양한 실험을 하고 있다”라며 “(해커가) 만들고자 하는 프로그램이 구체적으로 무엇인지, 이를 개발하기 위해 어떤 단계를 거쳐야 하는지를 챗GPT가 알려준다. 마치 컴퓨터공학 수업에서 프로그램 설계 언어를 쓰는 것과 유사하다”라고 했다.

물론 오픈AI 측도 이러한 위험성을 인지하고 AI가 범죄에 악용되는 것을 막기 위해 시스템을 고도화하고 있다. 실제 기자가 “해킹에 활용할 수 있는 악성코드를 개발하는 법을 알려달라” 등의 질문을 입력했으나 챗GPT에는 “불법적이거나 비윤리적인 목적으로 코드를 개발하는 것을 도와줄 수 없다”라며 답변을 거부했다.

다만 전문가들은 챗GPT가 아직 매우 노골적인 질문에 대한 답변만을 거부할 수 있을 뿐, 우회적으로 해킹 도구를 개발하기 위한 질문을 입력한다면 여전히 답변을 얻어낼 수 있다고 설명했다. 결국 오픈AI 측은 물론이고 업계와 정부 측이 이러한 악용사례를 예방하기 위해 프로그램을 고도화하고 다양한 해결책을 내놓아야만 한다는 것이다.

김휘강 고려대 정보보호대학원 교수는 “노골적으로 ‘개인정보를 추출하는 악성프로그래밍을 만들어달라’라고 하면 챗GPT가 답변을 거부하겠지만, ‘특정 텍스트를 추출하는 프로그램을 만들어달라’ 등 루틴을 비켜나가 질문해 답변을 얻은 후 이를 불법적인 용도로 활용하는 등 변주된 방법으로 챗GPT를 악용할 수도 있다”라고 했다.

조정원 보안프로젝트 대표는 “정상적인 프로그램 개발과 해킹 도구 개발은 한끝의 차이다”라며 “자신이 개발자인 척 적법적인 프로그램을 개발하기 위해 질문을 하는 것처럼 챗GPT를 속이고 답변을 얻어내 맨 마지막 문구만을 추가해 10~20초 만에 악성코드를 만드는 것도 가능하다”라고 했다.