"AI 챗봇에 악의적 지시해 정보 탈취…보안 주의해야"

SK쉴더스 상반기 보안 트렌드 분석 세미나
가상자산 영향 금융권 보안 사고 위험 높아

이재우 SK쉴더스 EQST/SI 사업그룹장(전무)이 2일 중구에서 열린 ‘2024 상반기 보안 트렌드 및 안전한 AI 활용 위한 보안 전략 공개’ 세미나에서 발표하고 있는 모습. SK쉴더스 제공

생성형 인공지능(AI)이 메일 피싱이나 랜섬 웨어, 악성코드 제작 등에 악용될 수 있다는 우려가 제기됐다. AI 챗봇에 악의적 지시를 반복해 입력해 주요 정보가 탈취될 위험이 높아 보안에 주의가 필요하다는 지적이 나온다.

SK쉴더스는 2일 서울 중구 페럼타워에서 2024 보안위협 전망과 대응전략 세미나를 열었다.

AI를 활용한 사이버 공격은 증가하는 추세다. 2월 홍콩에 위치한 다국적기업에서 딥페이크와 딥보이스에 속아 300억 원을 해커(공격자)에 송금한 사고가 발생했다. 공격자는 가짜 메일을 홍콩 지사에 전송한 후 딥페이크와 딥보이스를 악용해 본사 최고재무책임자(CFO)를 사칭했다.

AI 챗봇이 보안 위협을 인지하지 못하고 답변을 처리해 악성코드에 감염된 사례도 있다. 예를 들면 해커가 코딩 언어로 만든 원격 접속 코드를 실행하라고 챗봇에 입력하자 챗봇이 해당 접속코드를 실행해 정보가 빠져나가는 식이다. SK쉴더스의 화이트해커 그룹 이큐스트는 "생성형 AI가 프롬프트 인젝션을 통해 악성코드 생성이나 마약 제조, 폭탄 제조, 피싱 공격 등에 악용될 수 있다"고 지적했다. 프롬프트 인젝션은 악의적 질문을 통해 AI 서비스 내 적용된 지침이나 정책을 우회해 본래 목적이 아닌 답변을 유도하는 것을 뜻한다.

올해 상반기 사이버 사고 5건 중 1건은 금융권 타깃

이호석 SK쉴더스 EQST Lab 팀장이 2일 서울시 중구에서 열린 상반기 보안 트렌드 및 안전한 AI 활용 위한 보안 전략 세미나에서 발언하는 모습. SK쉴더스 제공

비트코인 등 가상자산에 대한 관심이 늘어나면서 금융권을 향한 사이버 범죄가 늘어나는 경향도 두드러진다. SK쉴더스 분석 결과 올해 상반기 국내에서 발생한 사이버 침해 사고 다섯 건 중 한 건(20.6%)은 금융권 대상 범죄였다. 정보·통신업(18%), 제조업(16.4%)이 뒤를 이었다. 국외 사이버 침해 사고는 우크라이나 전쟁 등 국제 분쟁으로 인해 정부와 공공기관을 대상으로 한 공격(26.7%)이 많았다.

앞으로는 생성형 AI 기술에 대한 투자만큼 보안에 대한 관심도 기울여야 할 것으로 보인다. SK쉴더스는 기업 대상으로 취약점 점검, 모의해킹 등을 수행하며 보안 수준을 높이는 데 힘쓰고 있다고 강조했다. AI 인프라 운영에 특화된 제로 트러스트 환경 구축과 운영 체계 수립 서비스를 제공할 예정이다. 김병무 SK쉴더스 정보보안사업부장(부사장)은 "전 산업 분야에 AI 기술 접목이 확산되면서 이를 노린 보안 위협이 현실화되고 있어 체계적인 대비가 필요하다"고 조언했다.

김지현 기자 hyun1620@hankookilbo.com