AI챗봇 ChatGPT가 해커들의 조력자??
OPEN AI가 ChatGPT를 출시한 지 6개월이 다 되어가고 있습니다. 트위터가 100만 명의 사용자를 모으는 데 2년이 걸렸고, 인스타그램이 6주가 걸린 것에 비하면, ChatGPT는 출시한 시 5일만에 100만명의 사용자를 돌파하였다는 사실은 충분히 이슈가 될 만한 사건이었습니다. ChatGPT의 등장은 여러 형태로 우려와 기대를 불러일으켰는데, 초기의 3.5버전 보다는 4.0버전에서는 사람들의 기대가 더 커지고 있는 것 같습니다.
ChatGPT의 등장에 긴장해야 할 이유는 여러가지가 있을 것입니다. ChatGPT는 어지간한 고등학생이나 대학생이 직접 쓴 것보다 더 나은 에세이를 작성하고, 코드를 작성하고 디버그까지도 할 수가 있습니다.
보안업체 'Check Point Software Technologies'의 첩보그룹 관리자인 '세르게이 샤이케비치(Sergey Shykevich)'는 ChatGPT를 통해서 코딩이나 개발 지식이 없는 사람도 개발자가 될 수 있다"라고까지 했습니다. 샤이케비치는 그 동안 다크웹의 대화를 모니터링하면서 개발 경험이 없는 사이버 범죄자들이 악의적인 도구를 생성하기 위하여 ChatGPT를 악용하고 있다는 증거를 발견했다고 합니다. 기업의 보안 전문가가 두려워하는 부분은 ChatGPT같은 인공지능 프로그램으로 인해 악의적인 공격자가 코드 및 텍스트의 품질과 양을 엄청나게 증가시킬 수 있다는 점입니다.
현재 ChatGPT는 사람이 작성한 이메일과 구별할 수 없을 정도로 다양한 스타일로 이메일을 작성할 수 있습니다. 뿐만 아니라 소셜 미디어 게시물, 유튜브 비디오 스크립트, 웹 사이트 콘텐츠, 보도자료, 리뷰 등 악의적 공격자가 가짜 웹의 존재와 그 정체성을 만들어 내거나 실제 존재하는 사람으로 위장하는 데 필요한 모든 것을 생성할 능력이 있다고 보여집니다.
피싱의 경우, 공격자는 ChatGPT 및 유사 플랫폼을 사용해서 사실적인 이메일을 생성할 수가 있습니다. 오픈소스 버전의 기술도 신속히 사용할 수 있게 됨녀서 더 발전된 기술과 해킹한 이메일 계정에 대한 접근 권한을 보유한 악의적 공격자는 기업의 커뮤니케이션 활동으로 AI를 훈련시킬 수 있습니다. 스크립팅 및 자동화를 통해 무엇이 작동하고 무엇이 작동하지 않는지 실시간으로 학습할 수 있는 AI로 대량 생산된 맞춤형 커뮤니케이션을 거의 무한대로 뽑아낼 수 있는 것입니다.
ChatGPT에 피싱 이메일에 대한 아이디어를 제안할 경우에는, 그 주제가 '적절하지 않거나 윤리적이지 않다'는 경고가 표시됩니다. 그러나 마케팅 이메일 혹은 새로운 인사 웹페이지에 대해 알려주는 이메일을 요청하거나 회의전 누군가에게 문서를 검토해 달라고 요청한다면 ChatGPT는 기꺼이 수락할 것입니다.
여기에 보여드리는 예시처럼 말이죠..
또한, 샤이케비치는 악의적 공격자들이 BEC(Business email compromise)나 진행중인 대화를 가로채는 데도 ChatGPT를 사용할 수 있을 것이라고 전망했습니다. "현재 이메일을 입력하고 다음 이메일이 무엇이 되어야 하는지 묻기만 하면 된다. 이런 상황은 이미 일어났는데 보지 못했거나, 곧 일어날 것이라"라고 말했습니다.
기업들은 AI가 작성한 이메일에 대비하기 위해 피싱 방지 교육을 검토하거나 강화하고 기술적 보안 대책을 강화할 필요가 있습니다.
- 기업 네트워크게 대한 접근을 막는 워드 문서 및 기타 첨부 파일을 위한 샌드박싱(Sandboxing)
- 온프레미스 및 원격 사용자를 모두 보호하기 위한 보안 웹 게이트웨이를 통한 웹 트래픽 검사
- 이메일 게이트웨이 보호
- URL에서 악의적인 내용 혹은 타이포스쿼팅(typosquatting) 확인
- 도메인 스푸핑 및 콘텐츠 변조 방지에 도움이 되는 DMARC, DKIM, SPF와 같은 이메일 보안 프로토콜 배포
- 의심스러운 이메일을 쉽게 보고할 수 있는 방법 제공
보안 업체 포티넷의 포티가드 랩(FortiGuard Labs) 소속 사이버 보안 연구원 아미르 라카니(Aamir Lakhani)는 피싱뿐 아니라 다른 AI 기반 위협에서 기업을 보호하기 위해 계층화된 보안 접근 방식이 여전히 최선이라고 설명하였습니다. 덧붙여서 그는 "AI의 무기화는 오래도록 지속될 것"이라고 경고하였습니다.
It's been nearly six months since OPEN AI launched ChatGPT. Compared to Twitter's two years of gathering 1 million users and Instagram's six weeks, the fact that ChatGPT surpassed 1 million users in just five days of launch was a well-known event. The emergence of ChatGPT has raised concerns and expectations in many ways, and people's expectations seem to be growing in the 4.0 version than in the early 3.5 version.
There are many reasons to be nervous about the advent of ChatGPT. ChatGPT can write, code, and even debug better essays than any high school or college student can write themselves.
Sergey Shykevich, the intelligence group manager of the security body Check Point Software Technologies, went so far as to say, "Those who do not have coding or development knowledge can become developers through ChatGPT." While monitoring conversations on the Dark Web, Shaykevich says he has found evidence that cybercriminals with no development experience are abusing ChatGPT to generate malicious tools. The fear of corporate security experts is that artificial intelligence programs such as ChatGPT can dramatically increase the quality and quantity of code and text by malicious attackers.
Today, ChatGPT can create emails in so many different styles that it can't distinguish from human-written ones. Furthermore, malicious attackers appear capable of creating fake web presence and its identity, or creating everything they need to disguise themselves as real people, including social media posts, YouTube video scripts, website content, press releases, and reviews.
In the case of phishing, an attacker can use ChatGPT and similar platforms to generate realistic emails. Open-source versions of technology can also be used quickly, allowing malicious attackers with more advanced technology and access to hacked email accounts to train AI with corporate communication activities. Scripting and automation enable AI to learn in real time what works and what doesn't work, enabling you to extract almost infinite number of mass-produced customized communications.
If you propose an idea for phishing emails to ChatGPT, you will be warned that the topic is 'not appropriate or ethical'. However, ChatGPT will be happy to accept if you request a marketing email or an email informing you of a new HR webpage, or if you ask someone to review the document before a meeting.
In addition, Schaekevich predicted that malicious attackers could also use ChatGPT to intercept business email complications (BECs) or ongoing conversations. All you have to do is enter the current email and ask what the next email should be. This situation has already happened, but you haven't seen it, or it will happen soon."
Companies need to review or strengthen anti-phishing training and strengthen technical security measures to prepare for AI-written emails.
- Sandboxing for word documents and other attachments that prevent access to corporate networking sites
- Web traffic inspection with secure web gateways to protect both on-premise and remote users
- Email Gateway Protection
- Check URL for malicious content or typosquatting
- Deploy email security protocols such as DMARC, DKIM, and SPF to help prevent domain spoofing and content tampering
- Provides an easy way to report suspicious emails
Aimir Lakhani, a cybersecurity researcher at FortiGuard Labs at security firm FortiNet, explained that a layered security approach is still best to protect businesses from phishing and other AI-based threats. In addition, he warned that "the weaponization of AI will last for a long time."