"챗GPT, 피싱 메일 작성해줘"…AI 해커가 등장했다

4분기에 1266건 랜섬웨어 공격 발생, 전년 동기 대비 65.4% 증가
생성형 AI 모델 악용 랜섬웨어 공격 본격화…'보안 백업 등 랜섬웨어 대응'강조

[서울=뉴시스]

[서울=뉴시스]송혜리 기자 = #지난해 11월 중국 A 회사를 대상으로 랜섬웨어 공격을 진행하고 몸값으로 한화 약 2700만원 상당에 달하는 가상자산 2만 테더(USDT)를 요구한 해커 4명이 체포됐다. 조사결과 이들은 챗GPT를 사용해 랜섬웨어를 개발하고 기능을 업그레이드한 것으로 밝혀졌다.

SK쉴더스는 '2023년 4분기 카라(KARA, Korea Anti-Ransomware Alliance) 랜섬웨어 동향 보고서'를 통해 인공지능(AI) 기술이 발전하면서 이를 활용한 랜섬웨어 공격이 급격히 늘고 있다고 소개했다.

특히 지난해 중국 사례와 같이 오픈AI의 챗GPT 기능을 악용한 랜섬웨어 공격이 최근 눈에 띄게 증가하고 있다는 게 회사 측 설명이다.

1266건 랜섬웨어 공격 발생…전년 동기 대비 65.4% 증가

SK쉴더스 주도로 구성된 랜섬웨어 대응 민간 협의체 카라는 이번 보고서를 통해 지난해 4분기에 가장 활발하게 활동한 랜섬웨어 공격 그룹의 동향과 공격 전략을 소개했다.

보고서에 따르면 이 기간 동안 글로벌 랜섬웨어 공격은 총 1266건이 발생했으며, 전년 동기 대비 65.4% 상승한 것으로 나타났다.

4분기에는 챗GPT를 활용한 랜섬웨어 공격이 증가해 눈길을 끌었다. 랜섬웨어 공격자들은 웜(Worm)GPT, 프라우드(Fraud)GPT 등 사이버공격을 수행하기 위한 생성형 AI 모델을 적극적으로 활용하고 있는 것으로 나타났다.

웜GPT는 피싱이나, 회사의 기밀 정보를 누설하도록 유도하는 'BEC공격'을 수행하기 위한 목적으로 개발된 AI 모델이다. 프라우드GPT는 악성코드를 작성하고 피싱 페이지를 생성하는 등의 악성행위를 수행하기 위한 목적으로 개발된 것으로 알려졌다.

해커들은 챗GPT를 랜섬웨어를 유지하고 보수하는데 사용하기도 했다. 또 챗GPT외에도 구글의 AI 챗봇 '바드(Bard)'의 다크웹 버전인 다크바트(DarkBart) 등도 추가로 확인됐다.

SK쉴더스 측은 "이처럼 최근 랜섬웨어 공격자들이 생성형 AI 모델 악용, 삼중협박 등 고도화된 전략을 사용하고 있어 이에 대한 철저한 대비가 요구되고 있다"고 당부했다.

핵티비즘을 내세운 다수의 랜섬웨어 그룹들의 공격도 활발하게 발생한 것으로 조사됐다. 핵티비즘이란 해커(Hacker)와 행동주의(Activism)의 합성어로 정치적, 이념적 방향에 목적을 둔 해킹 활동을 일컫는다. 이스라엘-하마스 전쟁 등의 영향으로 이스라엘 기업을 타깃으로 한 공격이 다수 진행됐다.

보안 백업 등 랜섬웨어 특화 대응 방안 도입 강조

SK쉴더스와 카라는 랜섬웨어 그룹별 맞춤형 대응 방안과 전반적인 랜섬웨어 대응 프로세스를 점검해야 한다고 강조했다.

우선, 초기 침투 경로를 차단하기 위해서는 모의 훈련, 보안 정책 평가 등의 서비스를 도입해야 한다. 이후 공격 위협이 탐지됐을 때는 내부로 확산되지 않도록 위협 요소를 제거하고 공격을 차단할 수 있는 관제, MDR(Managed Detection and Response) 서비스 등을 고려해볼 수 있다.

대응·복구 단계에서는 보안 백업을 통해 시스템을 정상화하고 원인 분석을 통해 재발 방지 대책을 수립하는 등의 조치가 필요하다.

김병무 SK쉴더스 정보보안사업부장(부사장)은 "범죄에 특화된 생성형 AI를 활용한 랜섬웨어 공격이 본격화되고 있는 만큼 랜섬웨어 공격 대응 방안 점검과 기업의 정보보호 활동이 강화돼야 할 것"이라며 "민간에서 유일하게 랜섬웨어 원스톱 서비스를 제공하고 있는 만큼 급변하는 랜섬웨어 공격 트렌드에 맞춘 보안 전략을 선보이겠다"고 밝혔다.

☞공감언론 뉴시스 chewoo@newsis.com