[아이티비즈 김문구 기자] 트렌드마이크로(지사장 김진광)가 22일 ‘2024 보안 예측’ 보고서를 발표, 사이버 위협 환경에서 생성형 AI의 혁신적인 역할과 정교한 소셜 엔지니어링 기법 및 신원 도용 기반의 생성형 AI 도구의 쓰나미가 다가오고 있다고 경고했다.
에릭 스키너 트렌드마이크로 시장 전략 담당 부사장은 "모든 언어에 능통한 고급 대규모 언어 모델(LLM)은 형식이나 문법의 오류와 같은 전통적인 피싱 지표를 제거하기 때문에 탐지하기가 매우 어렵고 심각한 위협이 되고 있다”며 “기업은 기존의 피싱 훈련에서 벗어나 최신 보안 제어 기능을 우선적으로 도입하여 사람의 탐지 능력을 뛰어넘는 고급 방어 기능과 복원력을 확보할 필요가 있다"고 말했다.
2024년에는 생성형 AI의 광범위한 가용성과 향상된 품질, 그리고 적대적 생성 신경망(Generative Adversarial Networks, GAN)의 사용으로 인해 피싱 시장에 지각변동이 일어날 것으로 예상된다. 이러한 변화는 극히 사실적인 오디오·비디오 콘텐츠를 저렴하게 제작할 수 있게 하여 비즈니스 이메일 사기 공격(business email compromise, BEC)과 가상 납치 및 기타 사기의 새로운 트렌드를 주도할 것으로 트렌드마이크로는 예측하고 있다.
위협 행위자는 악의적인 활동을 통해 얻을 수 있는 잠재적 수익을 위해 악의적인 생성형 AI 도구를 개발하거나 훔친 인증정보와 VPN이 포함된 합법적인 도구를 사용해 신원을 숨길 것이다. FBI에 따르면 2022년 한 해 동안 BEC로 인한 피해 금액은 27억 달러를 상회한다.
2024년에는 AI 모델 자체도 공격받을 수 있다. 생성형 AI와 LLM 데이터 세트는 위협 공격자가 영향을 미치기 어렵지만, 특화된 클라우드 기반 머신러닝 모델은 학습된 데이터 세트가 많을수록 민감 데이터의 유출, 사기 탐지 필터 우회, 커넥티드 카 방해와 같은 다양한 목적의 데이터 오염 공격 대상이 될 수 있다. 이러한 공격은 이미 100달러 미만의 비용으로 수행할 수 있다.
이와 같은 추세로 인해 규제 당국의 조사가 강화되고 사이버 보안 부문에서 자체적으로 문제를 해결하려는 움직임이 나타날 수 있다.
그렉 영 트렌드마이크로 사이버 보안 담당 부사장은 "내년부터는 사이버 보안 관련 AI 정책이나 규제의 개발에 있어 사이버 업계가 정부를 앞지르기 시작할 것"이라며 "업계는 옵트인(opt-in) 기반의 자율 규제를 위해 빠르게 움직이고 있다"고 말했다.
