챗GPT 등장 후 사이버 보안 `빨간불`

1분기 피싱메일 4151% 증가해
딥페이크 등 이용 가능성 높아

악성 피싱 이메일 증가세 추이. 슬래시넥스트 제공

생성형 인공지능(AI)으로 인해 보안 분야에 '빨간 불'이 들어왔다. 2022년 챗GPT 출시 이후 생성형 AI를 활용한 이메일 피싱, 크리덴셜 스터핑(Credential Stuffing)이 급증하고 있기 때문이다. 특히 최근에는 생성형 AI를 악성코드를 작성하는데 쓰거나, 목소리를 복제해 보이스피싱에 악용하는 등 해킹 수법이 점점 교묘해지고 있다.

12일 미국 보안기업 슬래시넥스트(SlashNext)의 '2024 피싱 현황(State of Phishing 2024)' 보고서에 따르면 지난해 1분기부터 올해 1분기까지 약 1년 동안 전세계에서 악성 피싱 이메일은 856%나 증가했다. 특히 챗GPT가 처음 선보인 2022년 4분기에 비해 올해 1분기에 4151%나 급증했다.

예전에는 상당한 코딩 실력을 갖춰야만 악성코드나 바이러스 프로그램 제작이 가능했지만 지금은 전문적인 컴퓨팅 교육을 받지 않은 이들도 손쉽게 악성 프로그램을 만들 수 있기 때문이다. 생성형 AI로 인한 부작용도 함께 증가하고 있는 것이다.

슬래시넥스트는 보고서에서 "사이버 범죄자들은 대규모언어모델(LLM) 챗봇을 사용해 고도로 표적화된 대규모 피싱 공격을 시작했다"며 "사이버 범죄자들이 더욱더 정교한 피싱 이메일을 작성하기 위해 챗GPT 같은 생성형 AI 도구를 사용하고 있다"고 설명했다.

컨설팅업체 딜로이트는 '2024 금융서비스 산업 예측보고서'에서 생성형 AI 이메일 사기로 인한 손실이 오는 2027년까지 총 115억달러(약 15조원)에 달할 것으로 추정했다. 딜로이트는 "미 연방수사국(FBI)에 따르면 2022년에만 2만1832건의 이메일 피싱 사기가 발생해 손실액이 약 27억달러(약 3조원)로 집계됐다"며 "개인 혹은 비즈니스 이메일 계정을 손상시킨 후 무단 송금을 하거나, 불법 소프트웨어를 유포하는 등 생성형 AI 이메일로 인한 동시다발적 대규모 사기가 발생할 수 있다"고 우려했다.

크리덴셜 스터핑 공격도 생성형 AI 등장 이후 급증하고 있다. 크리덴셜 스터핑은 공격자가 사용자의 계정, 비밀번호, 기타 여러가지 암호화된 개인정보를 여러 방식으로 획득해 사용자가 이용할 만한 시스템이나 사이트에 방문한 후 무작위로 대입(Stuffing)하는 공격 방식이다. 개인이 여러 서비스에서 같은 아이디나 비밀번호를 재사용하는 경향이 있다 보니 해커들의 성공 확률이 높은 것으로 알려졌다.

슬래시넥스트는 "크리덴셜 스터핑 공격이 올해 3월 기준 지난해 10월 대비 217% 증가했다"며 "크리덴셜 스터핑은 랜섬웨어, 데이터 유출 및 지식재산에 대한 접근을 원하는 해커들이 가장 많이 사용하는 방식"이라고 말했다.

생성형 AI가 발전하면서 사기 수법도 점점 고도화되고 있다. 실제로 생성형 AI는 딥페이크 기술로 비디오, 가상 음성·문서 등을 만들어내고 사이버 범죄자들은 이를 보이스피싱이나 딥페이크 피싱 등에 사용하고 있다. 딜로이트는 2027년까지 딥페이크 관련 손실이 연평균 32% 늘어날 것으로 내다봤다.

슬래시넥스트는 "사이버 범죄자들은 사용자를 보호하기 위한 보안 도구를 속이기 위해 더 정교한 방법을 사용하고 있다"며 "생성형AI를 활용한 사이버 범죄는 점점 더 교묘해지고 있다"고 밝혔다. 유진아기자 gnyu4@dt.co.kr