보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

전 세계를 들썩이게 만든 ‘챗GPT’

2023.03.08

14,881

인공지능(AI)이 인간의 고유 영역을 넘어서기 시작했다. SW 개발과 코드 작성은 물론 인간의 영역으로 알려진 콘텐츠 제작과 교육 분야에서도 활용이 가능한 AI가 등장한 것이다. 그 주인공은 바로 ‘오픈AI(OpenAI)’에서 지난 ‘22년 11월 출시한 ‘챗GPT(ChatGPT)’이다.
챗GPT는 IT 분야 뿐만 아니라 다양한 분야에서 활용 가능하다 보니, 사용자가 폭발적으로 증가하고 있다. 출시 5일 만에 사용자 100만 명을 돌파하는 것에 더해, 출시 40일 만에 일일 사용자 1,000만 명을 돌파하는 등 전 세계의 이목이 챗GPT에 집중되고 있다.
게다가 ‘AI 분야의 새로운 게임 체인저(Game Changer)가 될 것’이라는 평가를 받고 있는 상황이다. 이에 다양한 기업에서는 챗GPT라는 기술을 비즈니스에 어떻게 활용해 새로운 성과를 창출할 지에 주목하고 있다.

01. 산업 전반에서 최대의 화두로 떠오른 챗GPT

1) 도대체 챗GPT가 뭐길래?

‘챗GPT(ChatGPT)’는 대화의 맥락을 파악해 마치 사람과 얘기하는 것과 같은 경험을 주는 인공지능(AI) 챗봇이다. 챗GPT는 오픈AI(OpenAI)에서 출시됐다. 오픈AI(OpenAI)는 ‘15년 샘 알트만(Sam Altman)과 테슬라(Tesla)의 CEO인 일론 머스크(Elon Musk)가 인류에게 이익을 주는 것을 목표로 한 AI 개발을 위해 공동 설립한 연구소이다.
오픈AI는 챗GPT가 출시되기 4년 전인 ’18년, 주어진 텍스트의 다음 단어를 예측하는 기술을 학습해 사람이 쓴 듯한 글이나 콘텐츠 등을 만들어내는 자연어 처리 AI 모델 ‘GPT(Generative Pre-trained Transformer)’의 첫 번째 버전인 GPT-1을 선보였다. 그리고 GPT-1이 등장한지 2년 뒤인 ‘20년, 오픈AI는 GPT-1 대비 약 1,500배 많은 1,750억 개의 ‘파라미터(Parameter)’가 적용된 GPT-3를 발표하며 크게 주목을 받았다.

[그림 1] GPT-2 · GPT-3 파라미터 비교 일러스트 (출처 : Sooftware)

GPT와 같은 AI 모델의 연산 능력은 인공신경망인 파라미터의 개수가 중요한 요소로 작용한다. 파라미터는 인간의 뇌에서 신경세포를 연결하고 정보를 전달하는 역할을 하는 ‘시냅스(Synapse)’와 유사한 역할을 수행한다. 쉽게 말해 AI 모델이 예측한 답과 정답의 오차를 표현·판단하는 함수로, 파라미터가 많을수록 GPT의 성능이 좋아진다.

그리고 ’22년 11월 말 오픈AI에서 발표한 챗GPT는 자연어 처리 AI 모델인 GPT-3에 강화학습(Reinforcement Learning)을 적용해 한 단계 업그레이드된 성능을 보유한 GPT-3.5를 기반으로 개발됐다. 챗GPT는 출시 5일 만에 사용자 100만 명을 돌파하며 폭발적인 인기를 끌었는데, 대화 흐름이나 답변 완성도가 사람과의 대화라 해도 손색없을 만큼 뛰어났기 때문이다. 물론 챗GPT는 완성도 부분에서 일부 보완이 필요했지만, 기존의 챗봇이 단순 정보 전달 영역에서 벗어나지 못한 것에 비해 대화에 숨은 맥락을 이해하거나 질문 내용을 기억해 답변에 활용하는 등 성능이 우수했다.

[그림 2] 서비스별 이용자 1억 명 달성 기간 (출처 : UBS)

여기서 더 나아가 챗GPT는 출시된 지 40일 만에 일일 사용자 1,000만 명을 돌파하며, ‘AI 산업에서 새로운 게임체인저가 될 것’이라는 평가와 함께 ‘챗GPT는 이미 세상을 뒤집어 놓은 애플(Apple)의 아이폰(iPhone) 출시와 비교되고 있다’라는 평가를 받고 있다. 심지어 지난 2월 2일, 챗GPT는 출시 2달 만에 월간 활성 사용자 수(Monthly Activity User, 이하 MAU) 1억 명을 돌파하며 인터넷 등장 이후 가장 빠른 MAU 증가율을 보이고 있다.

2) AI 개발과 공개에 속도 내는 빅테크 기업

이처럼 빠르게 성장하고 있는 챗GPT는 다양한 분야에서 활용될 것으로 전망된다. 대표적으로 콜센터 상담사 업무를 지원하는 솔루션인 ‘AI 컨택센터(AI Contact Center, AICC)’, 논문 및 소설 등의 ‘콘텐츠 제작’, 코드 분석과 논문 작성과 같은 ‘교육 분야’ 등을 꼽을 수 있다. 이에 빅테크(Big Tech) 기업을 포함한 다양한 기업에서는 챗GPT라는 기술을 비즈니스에 어떻게 활용해 새로운 성과를 창출할 지에 주목하고 있다.

그리고 다수의 AI 전문가들은 챗GPT와 같은 대화형 AI가 검색 중심의 기존 인터넷 시장에 큰 변화를 일으킬 것으로 전망하고 있다. 앞으로 사용자들이 궁금한 것이 생기면 지금의 정보 검색 창을 활용하는 것 아닌, 대화형 AI 창을 선호할 것이라는 분석 때문이다. 이는 실제로 빅테크 기업들의 AI 개발 방식에 영향을 미치고 있는 것으로 나타났다.

[그림 3] 생성 AI 모델 활용 분야 (출처 : 앤틀러)

그동안 빅테크 기업들은 AI 모델을 개발하고도 이를 대중에 공개하는 대신 AI 관련 분야의 연구자 등을 대상으로 한 제한적 공개와 테스트를 진행해왔다. 내부적으로 챗GPT와 버금가는 AI 기술은 확보했지만, 자칫 불완전한 AI가 윤리적인 측면에서 사회적으로 미칠 영향에 대해 우려했던 것이다. 하지만 최근 챗GPT가 IT 분야 뿐만 아니라 산업 전반에 걸쳐 막대한 영향을 미치고, 큰 인기를 누리면서 개발한 AI를 공개하는 것에 소극적이던 빅테크 기업들도 AI 개발과 공개에 적극적으로 나서는 움직임이 나타나고 있다.

먼저 챗GPT에 대응하기 위해 글로벌 검색 시장 1위 기업인 구글(Google)은 챗GPT를 '코드 레드(적색 경보)' 급 위협으로 규정했다. 챗GPT가 구글의 전체 매출 가운데 60% 가량을 차지하고 있는 검색 엔진 사업에 가하는 위협에 대응하기 위해 AI 역량 강화에 주력한다는 것이다. 이에 지난 2월 6일 구글은 자사의 AI 모델인 ‘람다(LaMDA)’를 활용한 챗봇 ‘바드(Bard)’를 출시했으며, AI 스타트업인 ‘앤스로픽(Anthropic)’에 4억 달러를 투자하는 등 적극적으로 대응하고 있다. 여기에 더해 구글 산하 AI 연구소인 딥마인드(DeepMind)는 비공개 베타 형식으로 ‘스패로우(Sparrow)’라는 AI 챗봇을 ‘23년 봄에 출시 것을 예고했다.

메타(Meta)도 마찬가지다. 메타는 현재 AI 신기술을 적용한 서비스를 출시할 때 내부 승인 절차를 기존보다 빠르게 진행하는 방안을 논의 중이다. 그동안 과도하게 사회적 논란을 의식한 탓에 AI 서비스가 사용자의 질문에 뻔한 답을 하거나 답변을 회피하면서 주목을 받지 못했다는 것이다. 메타는 앞으로 더욱 공격적으로 AI 기술을 적용해 대중들로부터 주목받는 제품을 내놓겠다는 계획을 마련했다.

그리고 MS는 지난 1월 24일, 오픈AI에 약 100억 달러 규모의 대규모 투자를 진행한 것에 이어, 지난 2월 7일 챗GPT를 MS의 검색 엔진인 ‘빙(Bing)’에 적용했음을 발표했다. 이와 더불어 지난 2월 2일, MS가 현재 챗GPT에 활용된 GPT-3.5의 성능을 넘어서는 GPT-4를 빙 검색엔진에 적용 작업을 진행 중이라는 ‘세마포(Semafor)’의 보도자료가 공개되며 GPT-4 출시에 대한 이목이 집중되었다. 하지만 오픈AI CEO 샘 알트만이 테크크런치(TechCrunch)와 1월 13일 진행한 인터뷰에서 GPT-4 출시와 관련해 "사람들이 원하는 것보다 훨씬 더 천천히 기술을 출시할 것입니다"라고 발언한 만큼, GPT-4의 완성과 출시 시점에 대해서는 지켜봐야 할 것으로 보인다.

[표 1] AI 개발과 공개에 속도 내는 빅테크 (출처 : 이글루코퍼레이션)

3) 챗GPT로 인해 찾아온 역기능

이처럼 다양한 분야에서 챗GPT가 비즈니스에 활용되며 새로운 성과를 창출할 것으로 예상되는 반면, 챗GPT에 대한 부정적인 이면 또한 존재한다. 바로 챗GPT의 우수한 성능으로 인해 교육·연구 분야 등 에서 ‘AI 대필’과 같은 문제들이 수면 위로 올라오고 있기 때문이다.

지난 1월 9일, 국제머신러닝학회(International Conference on Machine Learning, 이하 ICML)은 ‘AI 도구를 사용해 논문을 작성하는 것을 금지한다’라는 지침을 발표했다. 교육, 연구현장에서 연구성과, 논문 등을 사람이 쓴 것인지, AI가 작성한 것인지 구별하기 힘들어지는 문제가 있기 때문이다. ICML은 “대규모 언어 모델(Large Language Model, 이하 LLM) 기반으로 생성된 텍스트를 포함하는 논문은 해당 텍스트를 실험 분석의 일부로 제시하는 게 아닌 이상 금지된다”라고 입장을 냈다.

ICML의 해당 조치는 바로 챗GPT가 만들어내는 문장들이 실제 논문이나 보고서에 쓰일 만큼의 수준을 보이기 때문이다. 최근 미국 노스웨스턴대학교 연구진은 논문 사전 게재 사이트인 ‘바이오아카이브(bioRxiv)’에 챗GPT로 작성한 의학 논문 초록이 표절 검사를 통과했으며, 10편 중 3편은 관련 전문가들도 가려내지 못했다고 밝혔다. 이는 챗GPT의 등장으로 인해 사람이 만든 모든 문서를 신뢰하지 못하는 상황이 올 수 있다는 것을 뜻하며, 모든 문서에 검증 과정이 필요해질 수 있다. 단지 논문 등의 문서 작성 뿐만 아니라 챗GPT는 합격하기 매우 까다로운 것으로 알려진 미국의 의사면허(USMLE), 경영대학원(MBA), 로스쿨 시험도 큰 어려움 없이 합격한 것으로 알려지며 의료, 경영 등 전문직의 영역까지 넘보고 있다.

이러한 이유로 미국 조지워싱턴대학교는 AI를 이용할 수 없는 구술시험 및 그룹 평가를 늘리고 있으며, 미국 텍사스대학교는 자료가 적은 탓에 AI 모델에 적용하기 어려운 초기 셰익스피어 작품을 수업 교재로 선정했다. 또한 미국 뉴욕시는 ’23년 1월부터 공립학교 내에서 챗GPT의 접근을 차단하겠다고 발표하는 등 챗GPT를 시험이나 과제에 활용하는 사례를 최소화하기 위한 움직임이 이뤄지고 있다.

[표 2] 챗GPT의 악용 사례를 막기 위한 조치들 (출처 : 동아일보, 재구성 : 이글루코퍼레이션)

그리고 지난 1월 31일, 오픈AI는 챗GPT 등 AI로 작성한 텍스트를 자동 탐지할 수 있는 앱 ‘클래시파이어(classifier)’ 베타버전을 공개했다. 해당 앱은 동일한 주제에 대해 사람이 쓴 텍스트와 AI 텍스트 데이터셋을 동시에 훈련 받은 언어 모델을 갖춰, 누가 텍스트를 작성했는지 구별할 수 있다. 오픈AI는 "그동안 학계가 우려했던 표절 같은 문제를 해결하기 위해 앱을 만들었다"라며 "AI가 작성한 글을 걸러내기 위해 최신 기술을 선별해 넣었다”라고 밝혔다. 다만 오픈AI는 해당 버전은 텍스트 분량이 1천 자를 넘을 경우에만 정확한 수치를 제시할 수 있다고 밝혔다. 1천 자가 넘지 않는 텍스트의 경우 신뢰성이 떨어진다고 오픈AI는 판단했는데, 사용자가 AI로 작성한 텍스트를 교묘하게 편집해 해당 앱을 속일 수 있다는 이유에서다.

02. 챗GPT가 보안 업계에 던진 고민거리

이처럼 모든 신기술들이 다 그렇지만 챗GPT에도 장점과 단점이 공존한다. 그리고 챗GPT를 사이버 보안에 접목시킨다면 챗GPT가 보유한 장점과 단점 모두 사이버 보안 측면에 영향을 미칠 것이 당연해 보인다. 사이버 보안 측면에서 챗GPT는 우수한 코드 분석 기능을 바탕으로 잠재적 위협 요소들을 최대한 빨리 찾아내는 데에는 강력한 성능을 선보이게 될 것이라는 데에는 이견이 없다. 또한 보안 담당자와의 대화 데이터가 축적되면 위기의 상황 속에서도 보안 업무 처리를 원활하게 할 수 있을 것으로 기대하고 있으며, 버그바운티(BugBounty)도 보다 효율적으로 진행할 수 있게 된다. 하지만 뛰어난 기술 그 자체가 위협이 될 수 있다는 것을 간과해서는 안 된다.

[그림 4] 챗GPT와 사이버 보안 관련 이미지 (출처 : The420)

챗GPT가 사이버 보안 측면에서 가지고 있는 위험 요소로는 ‘코드 작성 능력’을 꼽을 수 있다. 물론 오픈AI가 제공 중인 버전 그대로의 챗GPT를 사용해 ‘멀웨어(Malware)를 만들어라’라고 지시하면 챗GPT는 해당 명령을 거부한다. 챗GPT에는 지켜야 할 선이 설정되어 있기 때문이다. 오픈AI는 서비스 약관에서 △랜섬웨어 △키로거 △바이러스 또는 피해를 입히는 SW 생성을 시도하는 콘텐츠를 악성으로 정의했으며, 사이버 범죄를 겨냥한 사용과 스팸 생성 시도도 금지하고 있다.

하지만 보안 업체 체크포인트(Check Point)는 지난 1월 6일 업로드한 ‘OPWNAI : CYBERCRIMINALS STARTING TO USE CHATGPT’ 보고서를 통해 사이버 공격자들이 이미 ‘멀웨어를 작성하라’와 같은 명령을 챗GPT가 실제로 수행하기 위해 설정 사항을 우회하는 방법을 공유 중인 것은 물론, 악성 사이버 공격에 활용한 실제 사례들이 나타나고 있음을 발표했다.

1) 챗GPT의 멀웨어 작성

체크포인트가 발견한 사례 중 하나는 한 멀웨어(Malware) 개발자와 관련된 것이다. 해당 개발자는 다크웹 해킹 포럼에서 챗GPT를 활용해 예전부터 잘 알려진 멀웨어를 개발하는 실험을 진행했다고 공개했다. 챗GPT가 자신의 명령에 따라 개발한 파이썬(Python) 기반 정보 탈취 멀웨어의 코드 일부를 공유하기도 했는데, 해당 멀웨어는 12가지 종류의 파일을 시스템에서 훔쳐내는 멀웨어였다. 해당 개발자는 챗GPT에게 명령을 내려 PuTTY SSH와 텔넷 클라이언트를 다운로드 받는 Java 코드를 만들었고, 파워셸(PowerShell)을 통해 피해자 시스템에서 몰래 실행시키는 것까지 성공했다고 밝혔다.

이처럼 다크웹에서 공유된 챗GPT를 활용한 멀웨어 작성법이 널리 퍼진다면 이전과 비교할 수 없을 만큼 빠른 속도로 다양한 멀웨어가 등장할 것이다. 사이버 공격자들이 멀웨어를 작성하는데 필요한 ‘실력’이 더 이상 필요하지 않게 됨으로써 사이버 범죄 시장으로의 진입 장벽이 사실상 없어지는 것이나 다름없게 된다. AI 기반 멀웨어가 쉴 새 없이 사이버 위협을 가하는 시대가 도래할 수 도 있을 것이다.

[그림 5] 챗GPT를 사용해 Malware를 개발하는 방법을 공개한 사례 (출처 : 체크포인트)

2) 챗GPT를 활용한 자동화 다크웹 시장 플랫폼 구축

또 다른 하나는 챗GPT를 활용해 사이버 공격자가 완전 자동화된 다크웹 시장 플랫폼을 구축한 사례이다. 해당 사이버 공격자가 구축한 다크웹 시장 플랫폼은 탈취한 은행 계좌 및 지불 카드 데이터를 거래하는데 특화된 시장이었으며, 멀웨어는 물론 불법 약품과 탄약과 같은 물건들 또한 거래가 가능한 것으로 나타났다. 이후 해당 사이버 공격자는 자신의 성과를 입증하기 위해 서드파티 API를 활용하는 방법까지 공개했다. 아직 챗GPT의 기능이 다크웹에서 활동하는 사이버 공격자들에게 선호되는 새로운 도구로 활용될 것에 대한 여부를 확신하기는 이르다고 볼 수 있다. 하지만 사이버 공격자들이 활동하는 커뮤니티에서는 이미 챗GPT에 대한 상당한 관심이 나타나고 있으며, 점차 악성코드를 생성하는 새로운 트렌드로 변모하고 있다.

[그림 6] 챗GPT를 사용해 자동화 다크웹 플랫폼 구축 방법을 공개한 사례 (출처 : 체크포인트)

3) 챗GPT로 생성한 파이썬 스크립트의 위험성

여기에 더해 ’22년 12월 1일, USDoD라는 닉네임을 사용하는 사이버 공격자는 챗GPT를 사용해 생성한 파이썬 스크립트를 다크웹에 공개했다. 해당 스크립트는 ‘블로피시(Blowfish)’와 ‘투피시(Twofish)’ 암호화 알고리즘을 사용해 데이터를 암호화하고 복호화하는 기능을 가지고 있다. 물론 해당 스크립트가 그 자체로 악성으로 분류될 만한 것은 아니었지만, USDoD는 공개한 스크립트를 사이버 공격자들이 악의적인 목적을 달성하기 위해 얼마든지 활용할 수 있다고 강조했다. 그리고 해당 스크립트를 분석한 결과, 스크립트 및 구문을 일부 수정하면 컴퓨터를 완전 암호화 시키는 것과 더불어 잠재적으로 랜섬웨어로 전환될 수 있는 것으로 나타났다.

문제는 USDoD의 발언인데, USDoD는 “해당 암호화/복호화 스크립트는 챗GPT로 처음 만들어 본 것”이라며 별다른 경험 없이도 쉽게 만들어낼 수 있음을 강조했다. 이는 누구나 쉽게 악성 스크립트를 생성할 수 있다는 것을 의미하며, 만약 뛰어난 기술을 가진 사이버 공격자가 이를 활용한다면 사이버 보안 측면에서 문제는 더욱 심화될 것이다.

[그림 7] 챗GPT를 사용해 생성한 다계층 암호화 도구 (출처 : 체크포인트)

이와 관련해 체크포인트는 “챗GPT와 같은 챗봇은 ‘코드를 작성해라’라는 명령만 인간의 언어로 내릴 줄 알면 SW를 완성할 수 있게 된다” 그리고 “물론 ‘코드를 작성해라’라는 명령으로 SW가 완성되지는 않지만, 이는 코딩 기술을 익히는 것보다 훨씬 쉽다”라고 전하며, 챗GPT와 같은 챗봇이 악성 행위에 활용되는 등의 위험성에 대해 강조했다.

4) 챗GPT로 고도화될 기업 이메일 침해 공격(BEC)

마지막으로 실제 사례가 발견되지는 않았지만, 챗GPT의 특정 이메일이나 텍스트를 찾아달라는 등의 ‘콘텐츠 관련 요청’에 정확하고 빠르게 응답하는 성능으로 인해 사이버 위협이 더욱 고도화될 가능성도 존재한다. 챗GPT의 우수한 기능은 일반 업무에 도움이 되지만, 반대로 기업 이메일 침해 공격(Business Email Compromise, 이하 BEC)을 감행하는 사이버 공격자들에게 큰 도움이 될 수 있다. BEC 공격자들은 피해자를 속이기 위해 ‘진짜 같아 보이는’ 이메일을 다량 제작하기 위해 템플릿을 활용한다. 그리고 보안 업계는 이러한 템플릿을 탐지 및 추적하는 솔루션을 통해 BEC 공격을 예방하고 있다.

하지만 챗GPT를 활용한다면 사이버 공격자들은 템플릿에 연연할 필요가 없어진다. 챗GPT는 표준 언어 구사력이 상당히 좋은 편으로, 사이버 공격 대상자에게 적합한 템플릿을 만들어 낼 수 있다. 이럴 경우 템플릿을 기반으로 한 탐지 기술은 소용없게 된다.

사이버 공격자들이 전송하는 가짜 이메일을 구별하는 방법 중 하나는 문법과 철자를 주의 깊게 살피는 것이다. 사이버 공격자들이 직접 작성한 이메일에는 문법과 철자의 오류가 일부 포함되어 있기 마련이다. 하지만 사이버 공격자들이 챗GPT를 활용해 이메일을 작성한다면, 더욱 사람이 쓴 것과 같은 이메일이 완성되기 때문에 BEC 공격으로 인한 피해는 더욱 증가할 것으로 예상된다.

03. 마무리

오픈AI에서 공개한 챗GPT와 관련해 AI 분야 전문가들은 앞으로 이러한 열풍이 더욱 가속화되며 AI 챗봇 시장 또한 크게 확장될 것으로 전망한다. 챗GPT와 같은 AI 챗봇은 점차 다양하게 출시될 것이고, 챗봇이 보유한 고유 장점은 금융, 의료, 콘텐츠 제작 등의 분야는 물론 사이버 보안 분야에서도 활용될 것이다. 사이버 보안 측면에서 챗GPT는 악성코드 분석, 위협 탐지 등 다양한 분야에서 활용 가능할 것으로 예상되고 있으나, 이는 사이버 공격자들 또한 악성 행위에 손쉽게 활용할 수 있는 AI 도구들이 무수히 등장할 것이라는 예고를 포함한다.

[그림 8] 챗GPT가 사이버 보안에 미치는 영향에 대한 질문의 답변 (출처 : 오픈AI)

물론 아직 챗GPT와 같은 AI 알고리즘 기술은 완벽하다고 볼 수 없다. 오픈AI 또한 사이버 공격자들이 챗GPT를 악성 행위에 활용하는 것을 방지했기 때문에 악의적인 의도가 온전히 구현되지는 못하고 있다. 하지만 사이버 공격자들이 챗GPT와 같은 놀라운 신기술을 활용하는 것을 포기할 리가 없다. 이를 방지하기 위해서는 다크웹에서 현재 공유되고 있는 챗GPT의 교란 방법 등을 보안 업계에서 학습해, 각종 AI 알고리즘이 사이버 공격자들의 악의적 명령을 판단해 거부할 수 있도록 훈련이 진행되어야 할 것이다.