챗GPT를 비롯해 대규모 언어 모델에 기반한 대화형 인공지능 서비스(LLM·Large Language Models Conversational AI)가 빠르게 성장하면서 사이버보안 위협이 증가하고 있다는 보고서가 나왔다.
7일 국가정보원이 발간한 '2023 정보보호백서'에 따르면 국정원은 "대화형 인공지능 서비스는 일반 사용자와 상호작용해 자연스러운 대화를 제공하고 다양한 작업을 수행할 수 있지만, 인공지능 기술의 발전과 더불어 인공지능을 악용한 사이버보안 위협 역시 중요한 문제로 부각되고 있다"고 분석했다. 정보보호백서는 국가정보원이 과학기술정보통신부, 행정안전부, 개인정보보호위원회, 금융위원회, 외교부 등과 함께 매년 발간하는 것으로 올해 22회째다.
보고서는 "잠재적으로 악용 가능한 인공지능 모델 중 하나는 GPT-3와 같은 대형 언어 모델이다"라며 "자연어 처리와 생성 분야에서 광범위하게 사용되지만 사이버 범죄와 같은 불법적인 목적으로 사용될 가능성이 있다"고 했다. 사람처럼 글을 쓰고 응답하거나, 텍스트를 분석하고 생성할 수 있기 때문에 범죄자들이 스팸 및 사기에 악용하거나 협박 및 교란에 활용할 수 있다는 것이다. 또 대화형 인공지능 모델은 텍스트를 분석해 이름, 전화번호, 이메일 주소 등과 같은 개인정보를 추출, 수집하는 것도 가능해 악의적인 목적으로 사용되기 쉽다.
보고서는 "인공지능 기술이 발전하고 사회적으로 활용도가 높아짐에 따라 인공지능 시스템을 악용하려는 시도도 증가할 것"이라며 "윤리적이고 안전하게 인공지능 기술을 개발하고 활용하는 것이 중요하고 이를 위한 정책·법률·교육 등의 대책 마련이 필요하다"고 했다. 또 "국가 차원에서 인공지능 기술의 개발과 적용에 대한 법적 규제와 지침 등을 마련해야 한다"며 "개인정보보호와 같은 사용자 보호에 대한 법적 책임과 권리를 강화할 뿐 아니라 교육적 대책도 필요하다. 사용자도 이러한 위협에 대해 인식하고, 언어 모델을 적절하게 사용하는 방법을 배워야 한다"고 밝혔다.
보고서는 지난해 있었던 사이버보안 10대 이슈도 소개했다. 우선 '러시아-우크라이나전 등 현대 전쟁을 통해 본 사이버공격의 위력'을 꼽았다. 러시아가 우크라이나 정부 웹사이트와 금융기관 등을 상대로 웹변조와 디도스 공격을 하기도 하고, 우크라이나 군이 의존하는 미국 통신회사 비아셋(Viasat)의 위성 네트워크를 공격하기도 했으나 우크라이나가 치명적인 피해를 받지는 않았다고 국정원은 분석했다.
국정원은 보고서를 통해 "우크라이나가 2014년 크림반도 병합 이후 사이버위협에 대비해 대응 역량을 꾸준히 강화해 왔고, 미국·EU 등과도 파트너십을 맺고 정보를 공유해왔기 때문"이라며 "우크라이나의 사이버안보 역량 강화 노력으로부터 교훈을 얻어야 한다. 국제협력을 강화해 국가간 정보 공유를 활성화할 필요가 있으며, 민간이 보유한 위협정보의 신속한 공유 등 민간부문의 참여 활성화 방안을 찾아야 한다"고 밝혔다.
북한 등 국가 배후 해킹이 확산되면서 사이버안보 위협이 고조되는 것도 10대 이슈 중 하나로 꼽혔다. 보고서는 "방위산업·원자력 등과 같은 국가핵심기술에 대한 지식재산 탈취와 주요 기반시설 마비 등을 목표로 하는 사이버공격이 급증해 국가안보를 직접적으로 위협하고 있다"며 "고도화된 공격기법과 막대한 자본을 기반으로 한 국가 배후 해킹조직이 안보를 위해(危害)하는 사이버공격의 주요 위협원이 됐다"고 했다.
그러면서 "우리나라의 경우 사이버 능력을 핵심 비대칭 전력 중 하나로 삼고 있는 북한이 사이버 수단을 활용해 지속적인 위해 활동을 전개하고 있다"며 "국가안보와 직결된 국방 핵심원천 기술에 대한 탈취시도 또한 지속되고 있다. 시스템 무단접속, 악성코드 삽입 등 형태와 방법이 다양한 악성행위들이며, 시도 횟수가 매년 크게 증가하고 있다"고 밝혔다. 또 "북한은 기술 탈취, 첩보, 자금 조달 등을 위해 지속적으로 사이버 역량 강화에 힘을 쏟고 있어, 우리나라 사이버안보 리스크를 증대시키고 있다"며 "국내 민간 및 정부 유관부처 간 협력과 우방국과의 국제협력을 통한 강력한 안보태세 확립이 그 어느 때보다 중요한 시기다"라고 했다.
이외에도 10대 뉴스로는 ▲국내외 관심 이슈를 악용한 사회 공학적 해킹 공격 지속 증가 ▲외화벌이 목적 등 가상자산 타기팅 사이버공격 전세계 확산 ▲디지털플랫폼정부 출현에 따른 사이버보안 중요성 증가 ▲정부와 기업 간 소통·협력·상생의 '국가사이버안보협력센터' 개소 ▲아시아 최초 'NATO 사이버방위센터' 정회원 가입 ▲국제 공조 수준 제고 ▲국가정보원이 세계 최초 양자암호통신 안전성 검증체계 수립 ▲범정부 차원의 체계적 대응을 위한 사이버안보법 제정 추진 ▲공공분야의 안전한 민간 클라우드 도입을 위한 클라우드 보안인증제 개선 추진 등이 꼽혔다.
국정원은 중앙행정기관을 비롯한 99개 기관 정보보호 담당자를 대상으로 설문조사도 진행했다. 정보보호 업무수행 중 애로 사항으로는 직원들의 인식 부족과 기술 인력·예산 부족이 각각 42.42%와 40.4%로 큰 비중을 차지했다. 특이점은 이전 조사에서는 관련 법·제도가 미흡하다는 의견의 거의 없었으나, 이번에는 5.05%의 기관에서 관련 법·제도가 미흡해 업무수행 시 어려움이 있다고 답변했다.