2023년 2월 24일
로드먼 라메자니안 - 글로벌 클라우드 위협 책임자, Skyhigh Security
챗봇에 대해 잘 모르시는 분이 아니라면 지금쯤 ChatGPT에 대해 읽거나 들어보셨을 것입니다. 이 AI 기반 챗봇은 학교 프로젝트를 위한 에세이 작성부터 기술 비즈니스 논문 작성, 심지어 투팍 샤쿠르와 같은 고인이 된 래퍼에게 사이버 보안에 대한 가상의 라임을 지어 경의를 표하는 것(재미로 추천합니다)까지 모든 종류의 다양한 아이디어와 사용 사례를 촉진하며 매일 수백만 명의 활성 사용자의 관심을 불러일으키고 있습니다.
ChatGPT의 가능성은 무한한 것 같습니다.
사이버 보안에 인공지능(AI)을 사용하는 것은 새로운 일이 아니며, 보안 제품에서는 수년 전부터 AI와 머신 러닝(ML)을 활용해 왔습니다. 예를 들어, 오늘날에는 트래픽과 데이터를 실시간으로 분석하여 궁극적으로 보안 침해로 이어지기 전에 비정상적인 활동을 식별하는 데 AI/ML을 사용하는 것이 일반적입니다. 이와 같은 혁신은 보안팀에게 잠재적인 침해 지표에 대한 인사이트를 조기에 제공할 수 있다는 점에서 매우 환영할 만한 일입니다.
시사점
AI와 머신러닝이 사이버 보안 영역에 가져온 이점에도 불구하고 ChatGPT는 새로운 차원의 잠재적 위험을 나타냅니다. 많은 AI 기반 도구가 의심스러운 활동을 탐지하고 예방하는 데 초점을 맞춘 반면, ChatGPT는 위협 행위자가 시스템을 공격하려는 노력을 적극적으로 지원할 수 있는 기능을 갖추고 있습니다.
예를 들어 설명해드리겠습니다. ChatGPT는 실제로 공격을 시작하는 데 필요한 모든 것이 포함된 피싱 이메일을 작성하지 않습니다(아래 참조 - 초보적인 윤리적 필터가 있는 것 같습니다).
그러나 피싱 목적으로 아주 적은 노력으로 무기화할 수 있는 가상의 업무 이벤트에 관한 무해한 이메일 템플릿을 작성합니다(아래 참조).
이제 악의적인 공격자들은 이미 공격을 자동화하고 일부 형태의 AI/ML 모델을 활용하여 자신들만의 왜곡된 효율성을 달성하고 있다고 주장할 수 있습니다. 그러나 같은 사고방식으로 보면 ChatGPT는 이들에게 일종의 선물과도 같은 존재라고 볼 수 있습니다. 엄청난 양의 고유한 공격을 생성하고, 이를 통해 대규모로 조율된 표적 공격을 실행할 수 있게 함으로써 공격자들의 지평을 매우 쉽게 넓힐 수 있기 때문입니다.
최근 라스베가스에서 열린 스카이하이 세일즈 킥오프 행사에서 Gee 리튼하우스 CEO는 초등학교 4학년 학생이 기술적으로 어떻게 ChatGPT를 교육용으로 사용할 수 있는지에 대한 끔찍한 사례를 공유했습니다. 를 교육 목적으로 일반적으로 사용되는 웹 브라우저에 대한 버퍼 오버플로 공격을 공식화할 수 있다는 끔찍한 사례를 공유했습니다.
여기서 잠시 더 큰 그림을 생각해보면, 정교한 익스플로잇과 취약점을 잘 알고 있는 고도로 숙련된 해커를 막는 것뿐만 아니라, 이제는 완전히 초보자, 청소년, 기본적으로 chat.openai.com에 접속할 수 있는 호기심 많은 웹 사용자로 구성된 훨씬 더 큰 규모의 공격에 직면할 수도 있다는 의미입니다.
반대로 ChatGPT를 활용하여 조직의 시스템 보안을 강화할 수 있을까요?
시스템 스트레스 테스트, 소프트웨어 개발에 대한 퍼징 테스트 수행, 사고 대응 테이블탑 연습을 위한 악의적 행위자 시뮬레이션 등 엄청난 양의 데이터를 생성하는 데 ChatGPT의 힘과 능력을 활용할 수 있다는 것은 의심의 여지가 없습니다.
생각에 도움이 되는 음식
ChatGPT는 방어를 강화하는 데 사용될 수 있지만, 앞서 예시에서 보았듯이 악의적인 공격자들이 더 쉽고 효과적으로 공격을 수행하기 위해 악용할 수도 있습니다. 따라서 보안 담당자는 경계를 늦추지 않고 AI의 최신 발전과 사이버 보안 영역에서 AI가 어떻게 활용될 수 있는지에 대한 최신 정보를 파악하는 것이 필수적입니다.
이는 이러한 도구의 잠재적인 이점을 인식하는 것뿐만 아니라 잠재적인 오용을 방어할 수 있도록 준비해야 한다는 의미이기도 합니다. 모든 기술과 마찬가지로 위험을 이해하고 이를 완화하기 위한 조치를 취하는 것이 중요합니다.
Skyhigh Security의 클라우드 레지스트리는 30,000개 이상의 SaaS, PaaS 및 IaaS 서비스에 대한 포괄적인 위험 기반 렌즈를 제공하며, ChatGPT는 그중 하나에 불과합니다.
이 클라우드 레지스트리( Skyhigh Security )에서는 클라우드 보안 연합(CSA)과 함께 개발한 55개 위험 속성의 가중 평균을 사용하여 각 클라우드 서비스의 기업 준비도를 나타내는 CloudTrust 등급을 계산하고 할당합니다. 이러한 속성은 데이터, 사용자/장치, 서비스, 비즈니스, 법률 및 사이버 카테고리에 걸쳐 있습니다. 결과를 1에서 9 사이의 값으로 정규화합니다. 기업은 클라우드 거버넌스 정책 정의의 일부로 CloudTrust 등급을 사용합니다.
그림 1. Skyhigh Security 클라우드 레지스트리: 개요
그림 2. Skyhigh Security 클라우드 레지스트리: 위험
보안 실무자로서 특정 서비스/기업과 관련된 위험을 파악한 후에는 궁극적으로 세 가지 질문을 던져야 합니다:
- 이 사이트를 탐색하거나 사용한 사용자가 있나요? 있다면 몇 명인가요? 정확히 누구인가요?
- 웹 및 클라우드 인프라의 일부가 이 서비스에 액세스한 적이 있나요?
- 처음 두 질문 중 하나라도 "예"라고 답한 경우, 조직과 해당 서비스 간에 거래된 데이터의 양은 얼마인가요?
어떤 위협에 직면해 있는지 파악한 후에는 디바이스, 웹, 클라우드 환경을 보호하기 위한 적절한 조치를 취할 수 있습니다.
그림 3. Skyhigh Security 클라우드 레지스트리: 사용법
그림 4. Skyhigh Security 클라우드 레지스트리: 트래픽 - 허용됨 | 거부된 URL
Skyhigh Security의 전 세계 원격 측정 데이터를 분석한 결과, 2022년 11월~2023년 2월 사이에는 다음과 같은 결과가 나타났습니다:
웹에서 무료로 사용할 수 있는 첨단 AI 엔진은 전체 환경에 필요한 가시성, 인사이트, 제어 기능을 제공합니다.
마무리
ChatGPT는 아직 초기 단계에 있으며, 사용 시 고려해야 할 도덕적 문제가 많이 있습니다.
첨단 인공지능 챗봇이 우리의 삶을 더 편리하게 하고 업무를 더 잘 처리하는 미래를 상상하는 것은 어렵지 않습니다. 하지만 해커가 ChatGPT를 악의적인 목적으로 더 효과적으로 사용할 수 있다는 가능성도 전혀 없는 것은 아닙니다.
하지만 궁극적으로 사이버 방어의 저울추를 우리에게 유리하게 기울이려는 노력에서 ChatGPT와 같은 것이 어떤 방식, 형태 또는 형태로든 악의적인 행위자들을 도울 수 있다면 우리의 관심과 관심을 기울일 가치가 있습니다!
Skyhigh Security의 보호 솔루션을 확인하고 데모를 요청하여 직접 확인해 보세요.
블로그로 돌아가기