보이스피싱을 노린 중국 해커들이 전화를 걸면 여러분들은 최소한 ‘여보세요’라는 말이라도 하게 됩니다. 이를 녹음한 음성을 생성형 인공지능(AI)이 학습해 여러분의 완벽한 가족으로 위장할 수 있다면 큰 사회적 문제가 될 것입니다.
윤두식 지란지교시큐리티 대표가 14일 서울 중구 웨스틴조선호텔에서 열린 ‘2023 사이버보안콘퍼런스’에 참석해 ‘사이버보안 관점에서의 생성형 AI: 발생 가능한 위협과 대응방안’을 주제로 한 강연에서 이같이 말했다.
윤 대표는 “우리나라에 일반인을 대상으로 한 보이스피싱이 굉장히 많은 가운데, 앞으로 생성형 AI를 활용한 공격에 대응하기 위해 검찰, 경찰, 과학기술정보통신부, 금융기관들이 새로운 연구에 돌입해야 하는 상황에 와있다”고 강조했다.
그러면서 “인터넷에 검색하면 생성형 AI 서비스가 넘치고 관련 툴만 2만5000개 이상”이라며 “생성형 AI를 통해 생산성 증대뿐 아니라 새로운 보안 위협도 큰 문제가 될 수 있다”고 했다.
특히 생성형 AI가 웹사이트에서만 데이터를 수집하는 것이 아니라 소셜미디어(SNS)나 여러 경로를 통해 개인 신상까지 학습할 수 있어 무작위 해킹이 아닌 특정 개인에 맞춘 해킹이 굉장히 쉬워진다는 게 윤 대표의 설명이다.
윤 대표는 “특정인의 목소리를 3초 정도만 학습해도 목소리와 톤, 말투를 복사해 그대로 재현이 가능하다”며 “이를 통해 최근 자금 이체 등을 주문하는 보이스피싱 공격이 보고되고 있다”고 밝혔다.
윤 대표는 또 생성형 AI를 통한 지능형지속공격(APT)이 활성화될 것으로 예상했다. APT는 지속적인 컴퓨터 해킹 프로세스들의 집합으로, 특정 실체를 목표로 하는 사람이나 사람들에 의해 지휘된다. 일반적으로 정부, 기업, 정치단체 등의 조직을 대상으로 공격한다.
윤 대표는 “생성형 AI를 통해 소셜 엔지니어링 공격이 가능한 사이버 에이전트가 많아질 것”이라면서 기업들이 사이버 위험을 예방할 수 있는 3가지 방법론도 소개했다.
그는 “최근 기업들이 AI 구축을 위해 LLM(거대 언어모델)을 도입하고 외부에서 데이터가 공급되는데, 보안 체크리스트에서 이러한 데이터와 시스템을 관리하는 공급자의 책임을 반드시 확인해야 한다”고 말했다.
이어 “해커가 생성형 AI를 통해 공격하기 전 우리 내부 시스템에 어떤 문제가 있는지 테스트와 시뮬레이션을 주기적으로 진행해야 한다”고 덧붙였다.
윤 대표는 “앞으로 AI가 없으면 기업 운영 자체가 어려워지는 만큼, 보안을 얼마나 철저히 갖추고 이익을 창출할 수 있는지에 대한 장기적 고민이 필요하다”고 말했다.