보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

[외부 법률 기고] ChatGPT를 활용한 사이버공격 대비

2023.06.07

5,198

※ 본 기고는 당사와 법률자문·정보보호 서비스 상호협력 MOU를 체결한 법무법인(유) 화우에서 작성하였습니다.
※ 외부 필자의 기고 및 칼럼 등은 이글루코퍼레이션 콘텐츠의 편집방향과 일치하지 않을 수 있습니다.

ChatGPT로 대변되는 Search 3.0은 비즈니스 과정에서 생산성을 향상시키고, 의료, 법률, 미디어 등 다양한 산업 분야에서 활용되며, 전문가의 고유 영역으로만 여겨졌던 다양한 고도화된 작업을 수행하고, 종국적으로 모든 직업군에 그 영향을 끼친다. 물론 기존에 없던 사항을 묻거나 학습이 덜 된 분야에 대한 질문을 하면 거짓 답변을 사실처럼 말하거나 답변의 정확성이 떨어지는 문제가 있어 아직은 그 효용성이 조금 떨어지는 부분이 있으나, 2022년 11월에 공개된 GPT-3.5에서 2023년 3월에 공개된 GPT-4, 그리고 향후 공개될 상위 버전 등 그 버전이 더 올라갈수록 그러한 취약점은 보완될 것이다.

다만 현재의 ChatGPT만으로도 악용되면 피싱 이메일이나 악성코드 등을 만들어 사이버 범죄에 이용될 수 있다는 우려도 커지고 있고, ChatGPT 개발사인 OpenAI 조차 ChatGPT가 사이버범죄 등에 악용될 수 있음을 인정하고 있다. 실제 미국, EU, 일본, 중국 등 세계 각국에서는 ChatGPT가 개인정보보호와 공공안전에 위협이 될 가능성이 있음을 인지하고 침해 조사나 관리 방안의 가이드라인 등을 마련하는 조치를 취할 것이라고 발표하고 있다.

EU의 경우 생성형 AI가 등장하기 전에 기안되었던 AI 법제 안에 생성형 AI에 대한 규정을 신설하고 AI 학습에 활용한 데이터의 출처와 저작권 공개를 의무화하는 등 관련 대응을 하고 있으며, 대한민국에서도 인공지능에 관한 법률안을 만들면서 생성형 AI에 대한 개념을 도입하려는 등 ChatGPT로 대변되는 생성형 AI에 대한 규제 논의가 활발하게 진행되고 있다. 일부 기업들의 경우 ChatGPT 사용 시 기업 정보 유출 우려 등의 이유로 사용을 금지하는 조치를 취하고 있는 것으로 알려지고 있다.

그리고 현재까지 알려진 바로는 공격자들은 피싱 메일 작성, 악성코드 생성 등에 ChatGPT를 사용하여, 그 결과물을 사이버 공격에 활용하는 등 ChatGPT를 통해 사이버 위협 행위에 대한 도움을 받고 있는 사례가 있고, 실제 카스퍼키는 초보 사이버범죄자도 ChatGPT로 손쉽게 악성코드 생성이 가능하고 소스코드의 취약점이 있을 수 있는 위치를 식별할 수 있으며, 챗봇을 활용하여 성공하는 피싱의 수가 증가할 것이며, 이메일뿐만 아니라 소셜 네트워크나 메신저 등에도 활용될 수 있다는 경고를 하고 있다.

그래서 직접 ChatGPT에게 ChatGPT를 사용하는 사이버 공격에 어떻게 대비해야 하는지 물어봤다. 그리고 ChatGPT는 다음과 같이 몇 가지 방법을 알려주었다.

① 비밀번호를 복잡하고 강력하게 설정하라.

ChatGPT는 비밀번호를 추측하거나 크래킹 하는 능력이 있을 수 있으므로, 비밀번호에는 영문자, 숫자, 특수문자를 혼합하고 자주 바꿔주는 것이 좋다. 또한 동일한 비밀번호를 여러 사이트에서 사용하지 말아야 한다.

② 피싱 이메일에 주의해야 한다.

ChatGPT는 기존보다 더 신뢰할 수 있고 적법한 것처럼 보이는 피싱 이메일을 만들 수 있다. 피싱 이메일은 개인정보나 계정 정보를 요구하거나 의심스러운 링크나 첨부파일을 보내는 경우가 많으므로, 이메일의 발신자와 내용을 꼼꼼히 확인하고 의문이 들면 클릭하지 말아야 한다.

③ 안티바이러스 프로그램을 설치하고 업데이트해야 한다.

ChatGPT는 간단한 악성코드를 개발하는 데도 활용될 수 있다. 악성코드는 컴퓨터의 성능을 저하시키거나 개인정보를 유출시킬 수 있으므로, 안티바이러스 프로그램을 설치하고 최신 버전으로 유지하는 것이 중요하다.

④ 백업을 꾸준히 해야 한다.

ChatGPT가 만든 악성코드에 감염되면 중요한 데이터를 잃을 수 있다. 따라서 데이터를 외장 하드드라이브나 클라우드 서비스 등에 백업해두는 것이 좋다.

그 외에도 ChatGPT는 사이버 보안에서 범죄자와 방어자 모두에게 활용될 수 있는바, 멀웨어 분석, 보안 컨설팅, 취약점 검색 등 사이버 보안에서 방어자가 ChatpGPT를 긍정적으로 활용할 수 있는 다양한 방안이 있다.

KISA의 최근 보고에 따르면 현재까지 ChatGPT로 인해 실질적인 사이버 공격이 발생하거나 관련된 범죄가 증가하였다고 볼 수는 없는 것으로 보인다. 하지만 기업 입장에서는 발생 가능한 보안 위협을 미리 식별하고 완화하기 위해 선제적 조치를 취하는 것이 필요하다. 민간에서는 ChatGPT 안전 활용 지침 등을 마련하여 구성원이 이를 준수하도록 하며, 국가는 AI 경쟁력 강화를 위해 노력하면서도 실용적인 AI 보안 정책에 대해 지속적인 논의를 해야 한다.



법무법인(유) 화우 이근우 변호사
약력
- 서울대학교 법학과, 서울대학교 대학원 법학과
- University of Southern California Gould School of Law, 법학석사 (LL.M.)
- Lee, Hong, Degerman, Kang & Waimey LA사무소 근무
- 2017년 10월 24일, 2022년 11월 21일 산업통상자원부 장관상 수상

소개
이근우 변호사는 AI, 자율주행, 드론, 5G, 3D 프린팅, IoT, 빅데이터, Cyber Security, GDPR, 블록체인 등 신기술 및 4차 산업혁명 기술 분야의 영업비밀침해 / 개인정보침해 등 관련 컴플라이언스 및 규제 법령 전문가로 통신비밀보안법 개정안 마련, SK 하이닉스와 도시바 및 샌디스크간의 영업비밀침해 사건, 금호석유화학의 상표권 분쟁, 리튬이온이차전지분리막에 관한 특허 분쟁, 쓰레기자동집하시설에 관한 특허 분쟁, 플라빅스 의약품 관련 특허무효소송, 고속버스의 자동예약 시스템 특허 분쟁 등 다수의 특허, 상표, 디자인, 영업비밀, 부정경쟁행위 사건과 정보통신망 및 개인정보보호 업무를 수행하였고, 기간통신사업자의 통신역무 관련 업무, IT 기업들에 대한 자문을 제공하였습니다.