과거 해킹은 고도의 지식과 전문 기술을 가진 이들의 전유물로 여겨졌다. 하지만 인공지능(AI)이 등장하면서 해킹은 새로운 국면을 맞이하고 있다. AI가 인간 생산성을 향상하는 유용한 도구를 넘어 사이버 공격의 가능성을 키우는 위협적인 도구가 되고 있는 것이다.
AI는 사이버 공격 문턱을 극적으로 낮춰 누구나 잠재적 공격자가 될 수 있는 환경을 조성한다. 코딩이나 보안에 대한 전문 지식이 없는 일반인도 손쉽게 사이버 공격 도구를 생성하고 사용할 수 있는 ‘해킹의 대중화’를 낳은 것이다. 전문 지식과 기술을 가진 해커에게는 AI가 전례 없는 수준의 역량을 부여해 ‘슈퍼 해커’로 거듭나게 했다. AI로 해킹은 세 가지 방향으로 고도화됐다.
둘째, 악성코드 제작이 자동화됐다. AI가 등장하기 전에는 악성코드를 만들려면 복잡한 프로그래밍과 컴퓨터 시스템 구조에 대한 이해가 필수였다. 하지만 AI를 활용하면 이러한 지식이 없어도 악성코드를 빠르게 제작할 수 있다. 실제로 다크웹 등에서는 ‘WormGPT’ ‘FraudGPT’처럼 악성코드를 만들도록 훈련된 AI 모델이 공공연하게 거래되고 있다. 사용자가 “정보 탈취용 악성코드를 만들어줘” 같은 간단한 명령어를 입력하기만 하면 실제로 작동하는 악성코드가 생성된다. 과거 전문 기술 없이 다른 사람이 개발한 스크립트나 프로그램을 사용해 해킹을 감행하던 ‘스크립트 키디(Script Kiddie)’가 이제는 AI 힘을 빌려 프로그래밍에 대한 지식 없이도 정교한 해킹 공격을 가하는 ‘GPT 키디’로 진화한 것이다.
셋째, ‘슈퍼 해커’의 등장이다. AI를 사용하는 숙련된 해커인 슈퍼 해커는 AI를 통해 해킹 공격의 효율성과 파괴력을 극대화한다. 가장 우려되는 지점은 이들이 AI를 사용해 제로데이 취약점(Zero-day Vulnerability)을 탐색하는 능력을 비약적으로 향상했다는 것이다. 제로데이 취약점이란 소프트웨어 개발자조차 인지하지 못하는 보안 시스템의 허점을 가리킨다. 그동안 숙련된 해커들도 이를 찾아내는 데 막대한 시간과 노력을 들여야 했다. 하지만 AI는 수백만 줄의 코드를 인간보다 월등히 빠른 속도로 분석하면서 잠재적 취약점을 찾아내는 데 드는 시간을 크게 단축할 수 있다.
AI를 기반으로 한 사회공학적 사이버 공격은 이미 현실화하고 있다. 영국에 본사를 둔 한 홍콩 다국적기업에서는 지난해 해커가 AI 기반의 딥페이크 기술을 사용해 고위 임원의 목소리와 얼굴을 복제한 뒤 마치 고위 임원이 화상회의를 진행하는 것처럼 꾸며낸 사건이 발생했다. 진짜 고위 임원이 회의를 진행한다고 믿은 해당 기업 직원들은 해커에게 약 2500만 달러(약 346억 원)에 달하는 거액을 송금했다. AI 딥페이크 기술을 활용해 해커는 진위를 판별하기 매우 어려운 정교한 사이버 공격을 구현할 수 있었다.
해킹 위협 탐지 시 인간의 개입을 최소화하고 즉각적으로 방어 조치를 실행하는 ‘보안 자동화 대응(SOAR)’ 기술의 도입은 AI의 등장으로 이제 선택이 아닌 필수가 됐다. 더 나아가 ‘제로 트러스트(Zero Trust)’ 아키텍처로 전환할 필요도 있다. ‘아무것도 신뢰하지 않고 모든 것을 항상 검증한다’는 원칙을 적용하는 것이다.
이 원칙을 적용하기 위해서는 먼저 ‘내부 네트워크는 안전하다’는 전통적인 보안 모델에서 벗어나야 한다. 모든 사용자, 기기, 애플리케이션의 접근 요청을 일단 신뢰하지 않고 철저히 인증한 후 권한을 부여함으로써 내부로부터의 위협 확산도 원천적으로 차단하는 것이다.
AI는 거스를 수 없는 시대적 흐름이다. 그러나 그 빛이 밝을수록 그림자 또한 짙어지기 마련이다. AI가 열어젖힌 사이버 공간의 새로운 패러다임 앞에서 ‘설마’라는 안일함은 가장 큰 위협이 된다. 기업과 정부, 나아가 사회 전체가 ‘AI를 통한 해킹 고도화’라는 문제를 심각한 안보 이슈로 직시해야 한다. 지금은 국가적 기술과 지식을 총동원해 AI를 통한 해킹에 대응할 수 있는 총체적 전략을 수립해야 할 ‘골든타임’이다.
*유튜브와 포털에서 각각 ‘매거진동아’와 ‘투벤저스’를 검색해 팔로잉하시면 기사 외에도 동영상 등 다채로운 투자 정보를 만나보실 수 있습니다.
AI는 사이버 공격 문턱을 극적으로 낮춰 누구나 잠재적 공격자가 될 수 있는 환경을 조성한다. 코딩이나 보안에 대한 전문 지식이 없는 일반인도 손쉽게 사이버 공격 도구를 생성하고 사용할 수 있는 ‘해킹의 대중화’를 낳은 것이다. 전문 지식과 기술을 가진 해커에게는 AI가 전례 없는 수준의 역량을 부여해 ‘슈퍼 해커’로 거듭나게 했다. AI로 해킹은 세 가지 방향으로 고도화됐다.
AI 딥페이크로 임원 사칭한 해킹 공격 발생
첫째, 피싱(phishing) 공격이 정교해졌다. 과거에는 피싱 메시지에 어색한 번역 투의 문장이나 맥락에 맞지 않는 내용이 포함돼 있었다. AI는 피싱 공격 대상의 직업과 관심사, 소셜네트워크서비스(SNS) 활동 등을 분석해 완벽한 문법과 설득력 있는 논리를 갖춘 맞춤형 ‘스피어 피싱’(spear phishing: 특정인을 대상으로 한 피싱 공격) 메시지를 대량으로 생성할 수 있다. 이러한 메시지는 인간 심리를 교묘하게 파고들어 피해자로 하여금 민감한 정보를 노출하거나 악성 소프트웨어를 내려받게 한다.둘째, 악성코드 제작이 자동화됐다. AI가 등장하기 전에는 악성코드를 만들려면 복잡한 프로그래밍과 컴퓨터 시스템 구조에 대한 이해가 필수였다. 하지만 AI를 활용하면 이러한 지식이 없어도 악성코드를 빠르게 제작할 수 있다. 실제로 다크웹 등에서는 ‘WormGPT’ ‘FraudGPT’처럼 악성코드를 만들도록 훈련된 AI 모델이 공공연하게 거래되고 있다. 사용자가 “정보 탈취용 악성코드를 만들어줘” 같은 간단한 명령어를 입력하기만 하면 실제로 작동하는 악성코드가 생성된다. 과거 전문 기술 없이 다른 사람이 개발한 스크립트나 프로그램을 사용해 해킹을 감행하던 ‘스크립트 키디(Script Kiddie)’가 이제는 AI 힘을 빌려 프로그래밍에 대한 지식 없이도 정교한 해킹 공격을 가하는 ‘GPT 키디’로 진화한 것이다.
셋째, ‘슈퍼 해커’의 등장이다. AI를 사용하는 숙련된 해커인 슈퍼 해커는 AI를 통해 해킹 공격의 효율성과 파괴력을 극대화한다. 가장 우려되는 지점은 이들이 AI를 사용해 제로데이 취약점(Zero-day Vulnerability)을 탐색하는 능력을 비약적으로 향상했다는 것이다. 제로데이 취약점이란 소프트웨어 개발자조차 인지하지 못하는 보안 시스템의 허점을 가리킨다. 그동안 숙련된 해커들도 이를 찾아내는 데 막대한 시간과 노력을 들여야 했다. 하지만 AI는 수백만 줄의 코드를 인간보다 월등히 빠른 속도로 분석하면서 잠재적 취약점을 찾아내는 데 드는 시간을 크게 단축할 수 있다.
AI를 기반으로 한 사회공학적 사이버 공격은 이미 현실화하고 있다. 영국에 본사를 둔 한 홍콩 다국적기업에서는 지난해 해커가 AI 기반의 딥페이크 기술을 사용해 고위 임원의 목소리와 얼굴을 복제한 뒤 마치 고위 임원이 화상회의를 진행하는 것처럼 꾸며낸 사건이 발생했다. 진짜 고위 임원이 회의를 진행한다고 믿은 해당 기업 직원들은 해커에게 약 2500만 달러(약 346억 원)에 달하는 거액을 송금했다. AI 딥페이크 기술을 활용해 해커는 진위를 판별하기 매우 어려운 정교한 사이버 공격을 구현할 수 있었다.
지난해 인공지능(AI) 딥페이크 기술을 사용해 고위 임원의 얼굴을 복제한 뒤 진짜 임원이 화상회의를 진행하는 것처럼 꾸민 사이버 사기 사건이 발생했다. 사진은 챗GPT 4o로 제작한 이미지. 김지현 제공
아무것도 믿지 않는 ‘제로 트러스트’ 적용해야
과거와는 차원이 다른 해킹 위협에 대응하려면 기존 보안 패러다임을 완전히 전환해야 한다. 기술적으로는 ‘AI에는 AI로’ 맞서는 전략이 필요하다. AI 기반 보안 관제 시스템을 구축하는 것이다. 정상적인 시스템 행위 패턴을 AI에 학습시켜 이를 벗어나는 미세한 이상 징후나 변칙적인 활동을 실시간으로 탐지해야 한다.해킹 위협 탐지 시 인간의 개입을 최소화하고 즉각적으로 방어 조치를 실행하는 ‘보안 자동화 대응(SOAR)’ 기술의 도입은 AI의 등장으로 이제 선택이 아닌 필수가 됐다. 더 나아가 ‘제로 트러스트(Zero Trust)’ 아키텍처로 전환할 필요도 있다. ‘아무것도 신뢰하지 않고 모든 것을 항상 검증한다’는 원칙을 적용하는 것이다.
이 원칙을 적용하기 위해서는 먼저 ‘내부 네트워크는 안전하다’는 전통적인 보안 모델에서 벗어나야 한다. 모든 사용자, 기기, 애플리케이션의 접근 요청을 일단 신뢰하지 않고 철저히 인증한 후 권한을 부여함으로써 내부로부터의 위협 확산도 원천적으로 차단하는 것이다.
AI는 거스를 수 없는 시대적 흐름이다. 그러나 그 빛이 밝을수록 그림자 또한 짙어지기 마련이다. AI가 열어젖힌 사이버 공간의 새로운 패러다임 앞에서 ‘설마’라는 안일함은 가장 큰 위협이 된다. 기업과 정부, 나아가 사회 전체가 ‘AI를 통한 해킹 고도화’라는 문제를 심각한 안보 이슈로 직시해야 한다. 지금은 국가적 기술과 지식을 총동원해 AI를 통한 해킹에 대응할 수 있는 총체적 전략을 수립해야 할 ‘골든타임’이다.
