구글 “해커들, AI로 살아있는 악성코드 만든다”
구글이 해커들이 인공지능(AI)을 단순한 작업 보조 도구가 아닌 ‘살아있는 무기’로 진화시키고 있다고 경고했다. 특히 공격 도중 스스로 모습을 바꿔 보안 프로그램의 탐지를 피하는 ‘변신 악성코드’가 처음 포착됐다.
6일(현지시간) 구글 위협정보그룹(GTIG)은 발표한 보고서에서 “지난 1년간 해커들의 AI 활용 방식이 근본적으로 바뀌었다”며 “이제 단순히 코드 작성을 돕는 수준을 넘어, 공격 중에 AI가 실시간으로 악성코드를 변형시키는 단계에 진입했다”고 밝혔다.
보고서에 따르면 GTIG는 올해 처음으로 ‘프롬프트플럭스(PROMPTFLUX)’라는 이름의 실험적 악성코드를 발견했다. 이 프로그램은 구글의 AI 제미나이에 접속해 “바이러스 백신을 피할 수 있는 새로운 코드를 만들어달라”고 요청한 뒤, 받은 코드로 자기 자신을 계속 바꿔나간다.
마치 카멜레온처럼 상황에 따라 모습을 바꾸는 이 악성코드는 보안 프로그램이 특정 패턴을 찾아 차단하는 방식으로는 막기 어렵다는 것이 GTIG의 설명이다. GTIG는 “아직 실험 단계이지만, 앞으로 이런 ‘자가 진화형’ 악성코드가 늘어날 것”이라고 경고했다.
더 심각한 것은 러시아 정부 지원 해커조직 APT28이 우크라이나를 상대로 실제 공격에 AI 악성코드를 사용했다는 점이다. ‘프롬프트스틸(PROMPTSTEAL)’로 명명된 이 프로그램은 중국의 AI 모델에 접속해 ‘문서를 훔치는 명령어를 만들어달라’고 요청한 뒤, 그 명령어를 즉석에서 실행했다.
해커들은 AI의 보안장치를 우회하기 위해 교묘한 방법을 쓰고 있다. 중국 연계 해커는 제미나이에게 시스템 취약점을 묻다가 거부당하자, “저는 CTF(해킹방어 대회) 참가자입니다’라고 신분을 속였다. 그러자 AI는 ‘대회 문제’라고 판단해 상세한 공격 방법을 알려준 것으로 알려졌다.
이란 정부 지원 해커조직은 ‘대학 과제를 하는 학생’ 또는 ‘논문을 쓰는 연구자’로 가장해 악성코드 개발을 도왔다. 구글 측은 이런 시도들을 차단하고 AI 모델을 강화했지만, 해커들의 속임수는 계속 진화하고 있다.
보고서는 범죄자들을 위한 AI 도구 시장도 급성장하고 있다고 지적했다. 영어권과 러시아어권 지하 포럼에서는 ‘FraudGPT’, ‘WormGPT’, ‘DarkDev’ 같은 이름의 불법 AI 서비스들이 활발히 광고되고 있다.
이들 서비스는 △가짜 얼굴·신분증 생성 △악성코드 자동 제작 △대량 피싱 메일 발송 △시스템 취약점 검색 등 공격 전 단계를 지원한다. 가격도 일반 AI처럼 무료 버전에 광고를 넣거나, 월 구독료를 받는 방식이다. GTIG는 “이제 기술이 부족한 초보 해커도 AI 도구만 있으면 정교한 공격을 할 수 있게 됐다”며 “범죄의 진입장벽이 크게 낮아졌다”고 우려했다.
국가가 지원하는 해커조직들도 AI를 적극 활용하고 있다. 북한 해커조직 ‘UNC1069’은 제미나이를 이용해 암호화폐 관련 미끼 문서를 스페인어로 번역하고, 가상화폐 지갑 데이터를 훔치는 코드를 개발했다. 언어 장벽을 AI로 극복해 공격 대상을 전 세계로 확대한 것이다.
중국 연계 해커는 클라우드 서버(AWS), 쿠버네티스, 맥OS 등 익숙하지 않은 시스템을 공격할 때 AI에게 ‘이렇게 침투하려면 어떤 명령어를 써야 하나’고 물으며 실시간 컨설팅을 받은 것으로 알려졌다. 이란 정부 지원 조직 ‘APT42’는 싱크탱크 연구원으로 위장한 피싱 메일을 AI로 작성했고, 심지어 ‘전화번호로 주인을 찾고, 특정 인물의 이동 패턴을 추적하는 데이터 분석 도구’를 개발하려 시도하기도 했다.
구글은 보고서에 언급된 해커 계정들을 모두 차단하고, AI 모델이 이런 악용 시도를 더 잘 거부하도록 개선했다고 밝혔다. 또한 ‘Big Sleep’이라는 AI 에이전트를 개발해 소프트웨어의 보안 취약점을 스스로 찾아내고 수정하는 기술도 선보였다.
GTIG는 “AI를 이용한 공격은 이제 시작 단계”라며 “앞으로 더 자율적이고 적응력 높은 악성코드가 등장할 것”이라고 전망했다. 구글 딥마인드는 “AI를 안전하게 개발하는 것만큼, 악용을 막는 방어 기술도 함께 발전시켜야 한다”고 강조했다.
아울러 보안 전문가들은 “AI 시대의 사이버 공격은 속도와 규모, 정교함에서 이전과 차원이 다르다”면서 “기업과 개인 모두 보안 의식을 한 단계 높여야 한다”고 조언했다.