[창간 41주년 특집]생성형 AI·블록체인 신기술 등장…사이버 보안 대비책은

사이버 보안 분야에서 생성형 AI의 긍정적, 부정적 활용 방안

챗GPT로 대표되는 생성형 인공지능(AI)과 블록체인 등 신기술 출현은 산업에 새로운 기회이기도 하지만 보안 관점에선 또 다른 위협을 의미하기도 한다. 어디로 튈지 모르는 신기술 향방은 보안산업에 도전과제다. 새로운 기술은 새로운 보안 이슈를 야기하기 마련이다.

생성형 AI는 업무 효율성을 높여주는 동시에 사이버 공격에 악용될 수 있으며 정보 유출 문제도 안고 있다. 블록체인 역시 전 세계적으로 취약점을 악용한 침해사고가 다수 발생하는 등 기술 한계를 극복하기 위한 노력이 요구된다.

◇생성형 AI, 악성코드 생성 등 '위협'

우선 생성형 AI가 생성하는 결과물을 사이버 공격에 활용할 위험성이 높다. 대량의 피싱 메일을 손쉽게 작성할 뿐만 아니라 내용을 정교하게 수정할 수 있다. 이는 한국어를 모르는 해외 공격자에게 언어장벽을 해소해주는 요인이다.

또 생성형 AI의 코드 생성 기능은 해킹도구를 제작하는 데 활용될 수 있고 전문지식이 없는 일반인도 생성형 AI 도움으로 쉽게 해킹도구 제작이 가능하다. 공격자의 시간과 비용을 줄여주며, 일반 범죄의 사이버 범죄화 가능성도 상존한다.

민감정보 유출과 결과물 오남용도 문제다. 사용자가 생성형 AI에 입력한 정보는 서버에 저장된다. 운영사 보안사고, 우회 질문을 통한 민감정보 유출, AI 모델이나 서비스에 대한 해킹 공격 등으로 인해 사용자가 입력한 정보가 유출될 수 있다. 또 생성형 AI는 언어를 해석하고 질문에 맞게 답변하는 AI로, 결과물에 대한 사실 여부 검증은 불가능하다. 자칫 잘못된 정보를 오용하거나 확산시킬 수 있다는 위험성이 상존한다.

AI 고유의 보안 위협도 있다. 악의적 학습데이터 주입을 통해 편향된 지식이 쌓이면서 왜곡이나 차별을 유발할 수 있다. 실제 마이크로소프트에서 개발한 AI 챗봇 '테이'는 익명 인터넷 게시판에서 욕설과 인종·성차별 발언을 유도해 출시 16시간 만에 운영을 중단했다. 또 입력 데이터를 변조해 모델이 오분류하게 하거나, 학습에 활용된 데이터 복원, 모델 복제 공격 등 AI 모델의 학습과 활용 단계에서 다양한 공격에 노출돼 있다.

◇선제적 대응·안전한 활용

전문가들은 아직 생성형 AI를 활용한 사이버 공격이 발생하거나 범죄가 증가했다고 보기 어렵지만 보안 위협을 미리 식별하고 선제적 조치를 해야한다고 강조한다.

우선 생성형 AI를 활용하기 쉬운 피싱 공격 대응이 필요하다. 이메일 탐지 시스템 개선 등 기술적 보안 대책을 강화하는 한편 피싱 공격이 보다 정교해지는 만큼 위험성을 알리는 교육도 병행할 필요가 있다. 또 효율적 대응을 위해 생성형 AI 모델의 결과물을 식별하는 기술을 개발하고 관련 보안 위협 모니터링도 갖춰야 한다.

생성형 AI가 혁신적인 기술인 만큼 안전하게 활용할 수 있는 방안을 강구해야 한다는 제언도 나온다. 국가정보원이 지난 6월 '챗GPT 등 생성형 AI(인공지능) 활용 보안 가이드라인'을 배포한 것도 같은 맥락이다. 생성형 AI는 활용 촉진과 부작용 완화가 동시에 필요한 기술이기 때문이다. 가이드라인엔 필수 보안수칙으로 △비공개·개인정보 등 민감정보 입력 금지 △생성물에 대한 정확성·윤리성·적합성 등 재검증 △로그인 계정 보안설정 강화 등을 담았다.

AI 보안 정책에 대한 지속적인 논의도 필수적이다. AI 보안의 구체적인 방향성을 확립하려면, 데이터 수집 단계부터 학습, 결과물 활용까지 전과정에 대한 종합적인 보안 프레임워크를 마련해야 한다.

◇블록체인 보안위협 증가…“취약점 노려”

블록체인 보안위협은 지속 증가할 전망이며 애플리케이션, 시스템, 네트워크를 중심으로 다양하게 발생할 것으로 보인다.

공격자는 탈중앙화 앱(DApp)과 스마트 계약과 같이 블록체인 앱 취약점을 악용해 금전적 이득을 노린다. 고려대 컴퓨터보안연구실의 '베리스마트(VERISMART) 기술을 통해 분석한 스마트 계약 취약점 증가 추세' 조사에 따르면, 스마트 계약의 취약점은 매년 증가하고 있다. 또 배포된 이더리움 스마트 계약의 수집 가능한 소스코드 표본을 기준으로 취약점 분석을 진행한 결과, 전체 표본의 95%가 하나 이상의 취약점을 가지고 있다는 연구 결과도 있다.

블록체인 시스템에 존재하는 취약한 오픈소스 소프트웨어(SW) 구성요소를 악용하기도 한다. 블록체인은 기본적으로 암호화 해시체인, 분산 네트워크와 전자 서명 등 기술을 활용해 보안에 안전하다고 알려졌지만, 블록체인 서비스를 구현한 정보통신기술(ICT) 시스템은 기존 사이버 위협에 동일하게 노출된다. 고려대 '블록체인 플랫폼 보안 취약점 자동분석 기술 개발 과제' 조사 결과에 따르면, 비트코인을 포함한 가상자산 블록체인 SW엔 평균 10개 이상의 오픈소스 SW를 재사용하고 있다.

네트워크 보안위협도 있다. 인터넷 인프라의 구조적 취약점을 겨냥해 데이터를 탈취하거나 전체 네트워크를 마비시키는 'BGP(Border Gateway Protocal) 하이재킹', 타겟 피해자의 컴퓨팅 자원을 악용해 금전적인 이득을 취하는 '크립토재킹', 2개의 다른 블록체인 네트워크를 연결해 자산을 옮길 수 있도록 도와주는 블록체인 브릿지 기술을 해킹해 악의적인 이득을 취하는 '블록체인 브릿지 해킹' 등이 대표적이다.

◇보안 내재화·정책적 지원

블록체인 시스템 안전성을 검증하고 평가하기 위한 정책적 지원이 필요하다는 목소리가 높다.

보안 내재화는 시스템 요구사항 분석과 설계 단계부터 블록체인 기술의 실제 운영 단계까지 전체적으로 블록체인 안전성을 검증하는 것을 의미다. 이를 위해 전문 컨설팅 지원, 블록체인 암호기술 가이드라인을 통한 안전성 검증 등 블록체인 기반 신뢰 사회 구현을 위한 정책적인 지원이 요구된다.

아울러 블록체인 보안 취약점 자동분석 기술을 지속 연구·개발하고 이를 활용해 SW 개발 업체의 보안 내재화를 활성화하는 방안도 강조되고 있다. 시스템 개발 생명주기와 단계별 공격 유형에 따라 블록체인 서비스 보안성 향상을 위한 취약점 분석 도구와 개발 지원 라이브러리 등을 제공, 전 단계에서 블록체인 시스템 안전성을 강화할 수 있을 것으로 기대된다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]