인공지능(AI)이 처음으로 사이버 해킹에 쓰이는 취약점 공격 도구(익스플로잇)를 직접 개발·무기화한 사실이 확인됐다. AI 모델이 해킹에 악용될 수 있다는 우려가 현실이 됐다는 점에서, 보안업계는 물론 각국 정부의 AI 거버넌스 정책에도 파장이 예상된다.
13일 공개된 구글 위협인텔리전스그룹(GTIG) 보고서에 따르면, 사이버 범죄자들이 AI를 이용해 제로데이 취약점을 발견하고 무기화한 첫 실증 사례가 확인됐다. 제로데이(Zero-Day)란 소프트웨어 개발사조차 아직 인지하지 못한 보안 결함으로, 보안 업데이트 없이는 방어가 불가능한 치명적 취약점이다.
GTIG 분석 결과, 공격자들은 오픈소스 웹 기반 시스템 관리 도구의 2단계 인증(2FA) 우회를 가능하게 하는 제로데이 취약점을 파이썬 스크립트로 구현했다. 구글은 해당 도구의 이름과 해킹 그룹의 신원을 공개하지 않았으나, 이 그룹이 "고프로파일 사건과 대규모 악용의 강력한 이력"을 보유한 유명 사이버범죄 조직이라고 밝혔다.
다만 구글은 자사의 제미나이나 앤트로픽의 미토스 모델이 이번 공격에 사용됐다는 증거는 없다고 선을 그었다. GTIG 수석 분석가 존 헐트퀴스트는 "이번 사건이 처음은 아닐 것"이라며 "AI 취약점 경쟁이 임박했다는 인식은 잘못된 것이다. 이미 시작됐다"고 경고했다.
구글은 이번 공격을 해당 소프트웨어 업체에 사전 통보해 보안업데이트를 완료했으며, 대규모 악용이 실행되기 전 선제적으로 차단했다고 밝혔다.
이번 보고서에는 국가 연계 해킹 그룹들의 AI 활용 실태도 담겼다. 북한의 APT45는 수천 건의 반복적인 프롬프트를 전송해 다양한 공개 취약점(CVE)를 재귀적으로 분석하고 개념 증명(PoC) 익스플로잇을 검증하는 데 AI를 활용한 것으로 나타났다. 중국 연계 그룹 UNC2814는 AI에 네트워크 보안 전문가 역할을 부여하는 '페르소나 기반 탈옥' 기법으로 TP-Link 펌웨어 등 임베디드 기기의 취약점 연구에 제미나이를 이용했다.
앤트로픽은 지난 4월 고성능 모델 미토스의 출시를 지연하기로 결정했다. 키며 범죄자들이 수십 년 된 소프트웨어 취약점을 파고드는 데 이 모델이 악용될 수 있다는 우려 때문이다. 한국도 이번 위협과 무관하지 않다. 보고서는 APT45는 한국을 주요 표적으로 삼아온 북한 국가 연계 해킹 조직으로 AI를 활용한 취약점 발굴 능력을 갖췄다고 밝혔다.
김성현 기자minus1@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
