ChatGPT: 선을 위한 AI인가 악을 위한 AI인가
과학, 기술, 그리고 이 모든 구성 요소는 여러 세대를 거쳐 인류에 큰 혜택을 안겼습니다. 당연한 말이지만, 이는 새로운 지식을 탐구한 결과입니다. 그렇다면 어떻게 해악을 끼칠까요? 현실에서 모든 도구는 좋은 것이 될 수도, 나쁜 것이 될 수도 있으며, 이를 좌우하는 것은 이 도구를 사용하는 사람입니다.
인간의 마음을 모방하고 해독하려는 끊임없는 탐구를 통해 우리는 인공 지능(AI)의 시대를 열었습니다. 텍스트 기반 AI 봇인 ChatGPT는 첨단 AI의 사용 확산에 대한 헤드라인을 장식하는 최신 도구가 되었습니다. 코딩 버그의 정확한 수정부터 3D 애니메이션 창작, 요리 레시피 생성 및 음악의 작곡에 이르기까지 ChatGPT는 놀라운 신기술의 세계를 여는 AI의 엄청난 힘을 보여주고 있습니다.
한편, AI는 많은 사람들의 생각대로 양날의 검입니다. 사이버 보안에서 오늘날 전문가들은 최소한의 인력 개입으로 대규모 인시던트에 대처할 수 있는 AI 기반 보안 도구와 제품을 이용하고 있습니다. 그러나 동시에 아마추어 해커들도 동일한 기술을 사용하여 지능형 멀웨어 프로그램을 개발하고 점점 더 높은 수준으로 우회적 공격을 실행하고 있습니다.
새로운 챗봇의 문제일까요?
지난 11월 ChatGPT가 출시된 후 전 세계 기술 전문가와 평론가들은 AI 생성 콘텐츠 도구로 인한 영향에 대해, 특히 사이버 보안 측면에서 즉각적인 우려를 나타냈습니다. 많은 이들이 궁금해하는 것은 "AI 소프트웨어가 사이버 범죄를 보편화할 것인가?"입니다.
최근 라스베가스에서 열린 Black Hat and Defcon 보안 회의에서 싱가포르 정부 기술 기관을 대표하는 팀은 AI가 뛰어난 피싱 이메일과 매우 효과적인 스피어 피싱 메시지를 인간 행위자가 할 수 있는 것보다 훨씬 더 우수하게 제작하는 방식을 선보인 바 있습니다.
OpenAI의 GPT-3 플랫폼과 기타 서비스형 AI 제품을 사용하여, 연구원들은 동료의 배경과 개인적 특성에 맞춤화된 인격 분석으로 생성한 피싱 이메일에 중점을 두었습니다. 그 결과, 연구원들은 의도된 표적을 공격하기 전에 이메일을 가다듬고 개선하는 파이프라인을 개발했습니다. 놀랍게도 플랫폼은 표적을 위한 콘텐츠를 생성하라는 지시를 받았을 때 싱가포르 법을 언급하는 등 관련성이 높은 세부 정보를 자동으로 제공했습니다.
ChatGPT의 제작자는 잘못된 전제에 이의를 제기하고 부적절한 요청을 거부하는 제어 기능이 AI 기반 도구에 기본적으로 내장되어 있음을 분명하게 밝혔습니다. 시스템에 기술적으로는 행위자들이 직접 악의적인 의도로 사용하는 것을 방지하기 위해 설계된 가드레일이 있다 하더라도, 몇 번의 창의적 유도만으로도 "신기하게 사람처럼" 여겨지는 완벽에 가까운 피싱 이메일을 생성했습니다.
문제를 해결하는 방법
ACSC(Australian Cyber Security Centre)에 따르면, 호주 기업들이 자체 신고한 비즈니스 이메일 침해(BEC) 공격으로 인한 총손실액은 2021년 8,145만 달러에서 증가하여 2022년 9,800만 달러를 기록했습니다. 이 추세는 다크 웹에서 10달러 미만으로 이용할 수 있는 도구, 서비스형 랜섬웨어 모델의 등장, ChatGPT와 같은 AI 기반 도구로 인해 계속 증가할 것으로 예상되며, 총체적으로 사이버 범죄자의 진입 장벽을 낮추게 될 것입니다.
더욱 지능적이고 기술적으로 발전된 해킹 환경의 다가오는 위협을 고려할 때, 사이버 보안 업계는 AI 기반 익스플로잇에 맞서 대응할 수 있는 동등한 리소스를 확보해야 합니다. 그러나 장기적으로 볼 때, 업계의 비전은 AI 위협에 추측으로 산발적으로 대처하려는 인력 위협 헌터로 구성된 방대한 팀이 될 수 없습니다.
반면 긍정적인 면을 보면, 인력 개입 없이 위협을 해결하는 데 자율적 대응으로 중요하게 사용되고 있습니다. 다만 이러한 진화하는 위협에 대응하기 위해서는 지능적인 조치를 취하는 것이 시급합니다. 기업들이 ACSC의 8가지 필수 완화 전략과 같은 사례를 구현하여 사이버 보안의 기준점이 되는 수준을 보장할 수 있지만, 더 새롭고 지능적인 위협으로부터 보호할 수 있다는 보장은 할 수 없습니다. AI 기반 공격이 일상생활의 일부가 됨에 따라, 기업, 정부, 개인은 자체적인 자동 대응을 보장할 수 있는 AI 및 머신 러닝과 같은 새로운 기술로 전환해야 합니다.
AI 도구의 더 책임감 있고 윤리적인 사용
큰 이목을 끌었던 최근 호주의 해킹 사건으로 미루어 볼 때, 기업이 사이버 보안 태세를 개선하기 위한 방법을 모색하는 것은 이제 당연한 일입니다. 새로운 기술을 구현하는 것은 더 이상 간과할 수 없는 일이며, 특히 호주 증권 투자 위원회(ASIC)는 사이버 보안을 우선으로 하는 데 실패한 기업 이사들에 대한 정밀 조사를 강화하고 있습니다.
그러나 기업들은 AI 사이버 보안 현황의 길을 찾는 데 수많은 어려움을 겪고 있습니다. 기술 복잡성부터 인력 구성 요소까지, 시스템, 관련 인력, 그리고 윤리적 고려 사항 간의 균형에 특히 상당한 초점이 맞춰져 있습니다.
기업 정책을 수립하는 것은 윤리적인 비즈니스 운영과 동시에 사이버 보안 개선을 위해 매우 중요합니다. 우리는 주변에서 구현되고 있는 AI 기술이 공정하고 지속 가능한 세상에 기여하면서 안전하고 신뢰할 수 있다는 더 큰 신뢰를 가능하게 하는 효과적인 거버넌스 및 법적 프레임워크를 구축해야 합니다. 따라서 신뢰, 투명성 및 책임이 시스템의 이점을 보완하는 성공적인 사이버 보안 환경에서 AI와 사람 간의 세심한 균형이 핵심 요소로 부상할 것입니다.
2023년 1월 18일 Australian Cybersecurity Magazine에 원본이 게재된 글입니다.