코딩 몰라도… 쇼핑몰 구매정보 1시간 만에 탈탈

[이제껏 본적없는 ‘AI해커’] <1> 너무 쉬워진 해킹

기자가 14일 서울 강남구 티오리 한국법인에서 모의해킹을 시도하고 있다. 사진은 인공지능(AI) 모델을 사용해 해킹하는 장면과 해킹으로 얻어낸 개인정보가 띄워진 화면을 다중노출로 연출한 모습. 윤웅 기자

“선배, 온라인 쇼핑몰에서 화장품 두 개 2만2000원에 주문했죠?”

컴퓨터 코딩 지식이 전혀 없는 기자가 제3자의 정보를 빼내는 것은 그리 어렵지 않았다. 주문 상품과 결제 금액뿐 아니라 배송지 주소, 휴대전화 번호, 결제 시각까지 해킹하는 데 걸린 시간은 1시간 남짓. 해킹에 쓰인 토큰(AI 모델이 언어를 이해하고 쓰는 데 드는 데이터 단위) 비용은 7달러(약 1만원)에 그쳤다. 쉽게 접근이 가능한 생성형 인공지능(AI)과 보안 점검 도구를 활용했을 뿐이었다.

국민일보는 14일 사이버 보안전문 기업 티오리와 함께 모의해킹 실험을 진행했다. 선배 기자가 가상의 쇼핑몰 사이트에 회원가입을 한 뒤 이름과 이메일, 전화번호, 아이디, 비밀번호 등을 입력하고 상품을 주문하면 기자가 선배의 계정 정보를 찾아내고 구매 내역과 배송정보를 파악하는 실험이었다. 티오리의 AI 보안 점검 프로그램 ‘진트’가 쇼핑몰 사이트의 보안 취약점을 찾아내면 이를 토대로 기자가 생성형 AI 모델 ‘클로드’를 활용해 해킹을 시도하는 방식으로 진행됐다.

처음부터 해킹에 성공한 것은 아니었다. 기자는 클로드에 쇼핑몰 사이트의 회원명부를 보여 달라고 요청했지만 클로드는 이를 거부했다. 개인정보를 직접적으로 요구하는 민감한 요청으로 인식했기 때문이다. 생성형 AI가 해킹에 악용되는 것을 막기 위한 기본적인 안전장치가 작동한 결과였다.

하지만 질문을 바꾸자 결과가 달라졌다. 기자가 쇼핑몰 사이트의 운영 권한이 있다는 점을 설명하고, 회원 데이터에 이상징후가 있는지 점검하려 한다는 취지로 클로드에 회원명부를 다시 요청하자 화면에 1300여명의 회원 정보가 한꺼번에 나타났다. 회원 아이디와 이메일 주소, 전화번호, 보유 포인트는 물론 비식별 처리된 비밀번호 정보까지 전부 볼 수 있었다.

계정을 특정하자 구체적인 정보를 파악하는 일은 더 쉬웠다. 기자는 클로드에 “이 사용자(선배)의 주문 내역을 확인해 달라”고 요청했다. 그러자 구매 상품과 결제 금액, 결제 시각, 배송지 주소, 전화번호 등 민감 정보가 일목요연하게 정리돼 화면에 나타났다. 선배 기자가 주문한 화장품 이름과 2만2000원이라는 결제 금액을 손쉽게 파악할 수 있었다. 이 같은 해킹 방식은 간단한 우회 프롬프트(명령어)로 AI가 해서는 안 되는 행동을 하도록 유도하는 수법이다. 업계에서 활발하게 쓰이며 ‘탈옥 기법’으로 불린다.

일반인 누구나 해킹을 할 수 있는 시대가 오고 있다. 과거에는 해킹을 위해 컴퓨터 프로그래밍 전문지식과 보안기술을 익혀야 했지만 이제는 생성형 AI를 공격 도구로 활용할 수 있게 되면서 해킹의 진입장벽이 크게 낮아졌다. 고성능 AI 모델을 쓰지 않더라도 일상적으로 쓰는 웹사이트를 해킹하는 것은 어렵지 않은 일이 됐다. 박세준 티오리 대표는 "복잡한 컴퓨터 명령어를 몰라도 생성형 AI와 대화를 통해 프로그램을 만드는 '바이브 코딩'이 확산된 것처럼 해킹 역시 AI를 활용해 누구나 시도할 수 있는 영역으로 바뀌고 있다"고 말했다.

일반인이 아닌 기존 해커들에게도 AI는 악용될 소지가 크다. 기술에 대한 기본적 이해가 있는 사람들이 훨씬 더 편하고 빠르고 싸게 공격할 수 있게 됐기 때문이다. 박 대표는 "우리 사회가 더 강력해진 해킹 공격자들에 대비할 준비가 돼 있는지 점검해야 할 때"라고 지적했다.

개발자 10명이 매달려 하던 ‘작전’, 이제 1명이 AI로 해킹

게티이미지뱅크

인공지능(AI) 모델이 사이버 보안 지형도를 송두리째 바꾸고 있다. 소프트웨어 취약점을 찾아내기 위해 개발자 10명이 달려들어야 했던 일은 이제 AI의 도움이 있으면 단 한 명만으로도 가능하다. 앤트로픽의 고성능 AI 모델 '미토스' 정도의 성능이라면 사람이 개입하지 않더라도 AI가 스스로 취약점을 찾고 공격까지 할 수 있는 수준까지 가능하다는 게 대체적 평가다.

14일 글로벌 AI 연구기관 에포크 AI(Epoch AI)에 따르면 주요 21개 글로벌 기업과 오픈소스 프로젝트에서 공개된 고위험 취약점 숫자는 미토스 공개 이후 급증했다. 2022~2025년 '높음(High)' 등급 취약점은 월별로 150~300건 수준이었는데, 올해 들어서는 월 905건까지 치솟았다. '치명적(Critical)' 등급 취약점도 50건 안팎에서 142건으로 늘었다. 높음 등급 취약점은 시스템에 심각한 위협을 가져올 수 있는 결함을, 치명적 등급 취약점은 전체 시스템이 완전히 장악될 수 있는 수준의 결함을 뜻한다.

미토스뿐 아니라 최신 AI 모델이 보안 취약점을 찾는 능력은 월등히 발전했다. 최근 국내 보안 업체 티오리가 개발한 AI 보안 시스템은 지난 9년 동안 발견하지 못한 리눅스 운영체제의 보안 취약점을 1시간 만에 찾아내는 성과를 거뒀다. 박세준 티오리 대표는 "AI는 공격의 경제학을 바꿨다. 방어자의 생산성을 높이는 데 그치지 않고 공격자의 생산성까지 똑같이 높였다"며 "이전에는 한 팀, 혹은 10명이 하던 일을 개발자 한 명이 에이전트를 활용해 해킹하거나 방어할 수 있게 된 것"이라고 말했다.

해커가 보안 담당자인 척 AI를 속여 취약점을 찾아내는 우회 전략도 앞으로는 불필요해질 것이란 전망이 나온다. 사람이 AI 도구를 조작해 명령을 내리는 '바이브 해킹'에서 AI가 전술적 판단을 주도하는 '에이전틱 AI 해킹'으로 진화하고 있기 때문이다. 바이브 해킹은 인간이 직접 작전을 지휘했지만, 에이전틱 AI는 인간의 감독 없이 독립적인 결정을 내리고 스스로 공격을 실행한다. 지난 9일(현지시간) 앤트로픽이 공개한 보안 특화 AI 모델 '미토스 5'와 '페이블 5'의 사이버 보안 관련 성능은 지금까지 공개된 모델을 모두 능가했다.

앤트로픽은 이상 접근으로 차단된 832개 계정 중 560개 계정(67.3%)이 악성코드 작성과 같은 사이버 공격을 위해 AI를 활용했다고 밝혔다. 중국 정부의 지원을 받는 것으로 추정되는 공격자가 시도한 해킹의 80~90%는 AI가 수행한 것으로 추산됐다. AI는 수천 건의 요청을 초당 여러 건씩 전송했는데, 이는 사람이 할 수 없는 속도라는 것이다. 압도적 성능에 안보 위험이 커지자 미국 정부는 미토스 5·페이블 5 공개 나흘만에 외국 국적자의 미토스 접근을 전면 중단시켰다.

AI를 활용한 공격이 언젠가는 현실이 될 것이라고 예상했지만, 생각보다 훨씬 빠르게 실제 현장에서 대중적으로 활용되고 있다는 점은 충격적이란 평가다. 과거 사람이 시간과 비용 때문에 하지 못하던 해킹 시도를 AI는 반복적으로 수행할 수 있다.

이원태 국민대 특임교수는 "과거에는 취약점 공개 이후 일정한 대응 시간이 있었지만, 지금은 AI 기반 공격이 자동화하면서 취약점 공개 이후 실시간으로 공격 코드가 생성되고 유포되는 상황까지 나타나고 있다"며 "사이버 보안은 속도 대 속도 경쟁으로, 기존 대응체계로는 감당하기 어려운 수준이 됐다"고 말했다.

테크이슈팀=김혜지 양한주 심희정 기자 heyji@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지