[딜라이트닷넷=김보민 기자] 인공지능(AI) 기술이 발달하면서, 사이버 세상의 판도가 뒤집히고 있다. 공격자들은 AI 기술을 활용해 위협을 자동화하거나, 맞춤형 도구까지 만들기 시작했다. 전문가 도움 없이 AI 기술만으로 공격을 'DIY(Do It Yourself)'하는 시대가 온 것이다.

보안 전문가들은 특히 공격자가 합법적인 AI 모델을 악용하고 있다는 점을 우려하고 있다. 불법 경로가 아니더라도, 위협 난도를 고도화할 방법이 늘어나고 있다는 의미다.

이러한 흐름은 구글이 올해 초 발표한 '생성형 AI의 적대적 오용(Adversarial Misuse of Generative AI)' 보고서에서 드러났다. 보고서에 따르면, 국가 배후 공격 조직은 구글의 제미나이 서비스를 악용해 공격을 고도화하고 있는 것으로 나타났다. 북한을 비롯해, 중국과 이란 등 국가 배후 그룹의 악용 사례가 특히 두드러졌다.

북한의 경우, 북한 정부의 전략적 관심사를 연구하고 조사하는 데 제미나이를 활용했다. 군사 체계와 암호화폐 시장 동향 등을 검색하는 방식이었다. 뿐만 아니라 공격 대상을 정하거나 맞춤형 페이로드, 악성 스크립트를 개발하는 작업에도 AI를 사용했다. 일반 사용자가 생성형 AI 서비스를 활용하는 것처럼, 해커 또한 프롬프트 입력 만으로 공격에 필요한 결과물을 얻어내고 있다는 점을 엿볼 수 있는 대목이다.

중국 배후 조직은 제미나이를 활용해 공격 대상자를 정찰하거나 스크립팅을 개발한 것으로 나타났다. 북한과 유사한 양상으로, 데이터를 유출하거나 탐지를 회피하는 방법도 검색한 것으로 드러났다. 구글은 "AI는 위협 행위자에게 유용한 도구가 될 수 있다"며 "문제 해결, 연구, 콘텐츠 생성 등 일반적인 작업을 수행하는 단계에 이르렀다"고 평가했다.

문제는 구글 제미나이를 넘어 다른 AI 서비스도 악용되고 있다는 점이다. 생성형 AI 열풍을 몰고 온 챗GPT가 대표적이다. 오픈AI는 지난 6월 '악의적인 AI 사용 방해(Disrupting malicious uses of AI)' 보고서를 통해 AI의 본질적인 활용 방안을 보고하기도 했다. 글로벌 보안행사 블랙햇에서도 마이크로소프트(MS) 코파일럿이 피싱 이메일을 자동 생성하는 데 활용되고 있다는 점이 보고됐다.

맞춤형 악용은 계속되고 있다. AI 기업 앤트로픽은 지난달 위협인텔리전스 보고서를 통해, 자사 대형언어모델(LLM) '클로드'가 서비스형랜섬웨어(RaaS)에 악용되고 있다고 발표했다. 공격자는 클로드 기반 AI 서비스를 활용해 노코드로 악성코드를 만든 뒤, 랜섬웨어 서비스로 이를 판매했다. 배후에는 영국에 기반을 둔 해커가 활동한 것으로 추정된다. 해커는 엔드포인트탐지및대응(EDR) 등 보안 시스템을 회피할 기능을 만들어 판매한 것으로 조사됐다.

보고서는 이 해커가 전문가가 아님에도 공격은 물론 RaaS 사업을 맞춤형으로 구현했다는 점을 주목했다. 특히 "해커는 기술적으로 미숙했지만, AI 도움으로 복잡한 기능을 구현했다"며 "단순히 하나의 랜섬웨어 변종을 만들었다는 수준을 넘어, AI가 전통적인 기술 장벽을 허문 것"이라고 평가했다. 이어 "해커 혼자였다면 윈도 내부 구조를 악용할 기능까지 만들어내지 못했겠지만, AI 도움으로 완성도 높은 악성코드를 만드는 데 성공했다"고 덧붙였다.

한편 전문가들은 추후 AI 에이전트가 일상화된다면, 위협 난도가 더욱 높아질 것으로 보고 있다. 세계경제포럼(WEF)는 사이버 범죄 규모가 미국과 중국의 국내총생산(GDP) 규모를 따라잡고 있다는 분석을 제기한 바 있다. 올해 사이버 범죄로 발생한 비용은 10조5000달러에 육박할 것으로 전망되고 있다. 2015년(3조달러) 대비 3배 이상 증가한 수치다.