챗GPT와의 대화만으로 멀웨어 개발에 성공한 사람이 등장했다. 보안 업체에 근무하고 있던 사람이지만 멀웨어 분석이나 개발과는 거리가 먼 업무를 보고 있었다고 한다. 그는 개발 초보인 자기도 멀웨어를 만들었는데, 다른 해커들은 어떻겠느냐고 물었다.

[보안뉴스 문정후 기자] 챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 보안 전문가가 발표했다. 이 멀웨어는 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없다고 한다. 챗GPT에는 악의적인 활용을 차단하는 보호 기능이 탑재되어 있는데, 이것을 우회하는 방법들이 하나 둘 등장하고 있다.


[이미지 = utoimage]

해당 전문가인 아론 멀그류(Aaron Mulgrew)는 과거에 멀웨어를 개발해 본 경험이 전무하다고 하며, 이번에 챗GPT를 통해 멀웨어를 만들 때에 단 한 줄의 코드도 스스로 작성하지 않았다고 밝히고 있다. 다만 챗GPT와 함께 간단한 명령 실행문을 여러 개 작성했고, 이것들을 모으니 결국 멀웨어가 탄생했다고 한다. “특정 문서를 자동으로 검색해 찾아내고, 찾아낸 문서들을 잘게 쪼개서 이미지 파일들에 삽입하여 구글 드라이브로 업로드 하는 멀웨어가 완성됐습니다.”

멀그류에 의하면 백지에서부터 시작해 멀웨어를 완성하고 바이러스토탈(VirusTotal)에서 탐지되지 않는다는 것까지 확인하는 데 걸린 시간은 4시간 정도였다고 한다. 멀그류는 보안 업체 포스포인트(Forcepoint)의 솔루션 아키텍트다.

챗GPT의 보호 장치 부수기
멀그류는 이번 연구 결과를 발표한 이유에 대해 “챗GPT의 악용 방지 보호장치를 우회한다는 게 얼마나 쉬운 일인지 경고하기 위해서”라고 밝히고 있다. “챗GPT의 보호장치를 우회해서 멀웨어를 만드는 것이, 멀웨어 개발을 처음부터 배워서 만드는 것보다 훨씬 쉽습니다. 챗GPT가 새로운 익스플로잇 방법을 찾아낸 건 아닙니다만 현존하는 방어 체계를 우회하는 데 성공한 건 사실입니다. 꽤나 중대한 사안이라고 생각합니다.”

멀그류는 이번 작업을 진행하면서 걱정되는 점을 하나 발견할 수 있었다고 설명을 잇는다. “인공지능을 기반으로 한 챗봇은 난독화의 목적을 스스로 이해하고 있는 것처럼 보였습니다. 제가 탐지 우회와 관련된 내용을 구체적으로 요청하거나 언급하지 않았는데도, 탐지가 되지 않는 방법을 스스로 찾았거든요.”

챗GPT를 둘러싼 각종 보안 연구가 현재 활발히 진행되고 있으며, 멀그류의 연구 역시 그러한 맥락에서 이뤄진 것이라고 볼 수 있다. 현재 보안 업계에서는 챗GPT가 피싱 공격을 매우 효과적으로 바꿔준다는 데에는 동의하는 편이다. 하지만 챗GPT가 멀웨어를 만들어준다거나 새로운 익스플로잇을 발견해낼 수 있다는 것에 대해서는 분석이 더 필요하다는 입장이다.

챗GPT 안에 악성 코드 집어 넣기
그런 상황에서 멀그류는 포스포인트의 블로그를 통해 자신이 어떤 식으로 챗GPT를 꼬드겨 완성도 높은 멀웨어를 만들어냈는지 상세히 소개했다. 처음에는 멀웨어를 만들어달라고 요청을 했지만 챗GPT는 이를 거부했다. 그래서 멀그류는 멀웨어의 일부를 조각 단위로 조금씩 완성시켜 가며 일을 진행했다고 한다. 그런 후에 그 조각들을 합쳤다.

처음 챗GPT가 거부하지 않고 통과시킨 요청은 로컬 디스크에서 5MB보다 큰 PNG 파일을 검색하는 코드를 만들어달라는 것이었다. 그 다음 멀그류는 발견된 PNG 파일들에 스테가노그래피 기법을 덧입히는 코드를 추가로 요청했다. 챗GPT는 깃허브에서 이미 검증되고 널리 사용된 스테가노그래피 라이브러리를 찾아주었다.

그 후 여러 요청들을 연쇄적으로 적용해 가면서 멀그류는 로컬 디스크에서 워드 문서와 PDF 문서를 검색해 찾는 코드를 만들었다. 그 다음 1MB보다 큰 파일의 경우 분해해 작은 조각으로 만들어 달라는 요청도 통과시켰다. 그 작은 조각들을 위에서 완성시킨 PNG 스테가노그래피 파일에 삽입하는 것까지도 해냈다.

다음으로는 데이터를 구글 드라이브 계정에 올리는 코드를 만들 차례였고, 챗GPT는 간단히 이 부분을 해결했다. 이렇게 부분부분 접근을 하니 챗GPT는 요청을 거부하지 않았고, 멀그류의 손에는 새로운 멀웨어가 쥐어져 있었다.

바이러스토탈에서의 탐지율, 0%
멀그류는 새롭게 손에 쥔 멀웨어가 얼마나 높은 효력을 가지고 있는지 실험해 보고 싶었다. 그렇다고 공격을 해 볼 수는 없었고, 바이러스토탈에서 얼마나 탐지가 되는지 확인했다. 파일을 업로드 했더니 60개 엔진 중 5개가 ‘의심스러운 파일’로 경고를 띄웠다. 멀그류는 스테가노그래피 관련 라이브러리가 문제인 것을 확인했다.

“그래서 챗GPT에 코드를 변경해 달라고 요청했습니다. 비슷하지만 라이브러리의 것을 쓰지 말아달라고 했지요.” 그랬더니 단 2개 제품만 의심스럽다는 경고를 띄웠다. 멀그류는 챗GPT와 몇 가지 작업을 더 진행했고, 그 결과 단 한 탐지 엔진도 이 멀웨어를 위험하다고 분류하지 않았다.

이에 포스포인트의 멀웨어 전문가들은 챗GPT를 통해 화면 보호기 파일을 생성한 후 실행파일을 삽입하는 실험을 진행했다. “매일 기업에서 사용하는 애플리케이션들의 쉬운 활용법을 안내하기 위한 작업이라고 했더니 챗GPT는 아주 상세하게 SCR 파일(화면 보호기 파일)에 어떻게 실행파일을 삽입하고 자동으로 실행시키는지를 알려줬습니다. 이 경우 챗GPT를 속이기 위해 단계별로 진행할 필요가 없었습니다.”

멀그류는 이번 실험을 통해 “챗GPT를 가지고 특정 수준 이상의 멀웨어를 쉽게 만들 수 있는 게 확실해 보인다”고 말한다. “물론 명령 한 줄로 고급 멀웨어를 뚝딱 만들 수 있는 건 아닙니다만, 처음부터 멀웨어를 만드는 것보다는 훨씬 간단하게 개발이 됩니다. 그렇다고 개발이나 해킹 공격 경험이 전무한 사람도 챗GPT 때문에 갑자기 능숙한 멀웨어 개발자가 되는 것까지는 아닙니다. 저는 분석가이기 때문에 멀웨어 개발에 있어서는 초보자나 다름이 없습니다. 하지만 해킹 공격에 대해 조금 알고 있기 때문에 챗GPT로 멀웨어를 만들 수 있었습니다.”

3줄 요약
1. 챗GPT는 원래 멀웨어 개발을 하지 않게 되어 있음.
2. 하지만 멀웨어를 기능별로 쪼개 하나하나 챗GPT에게 요청하니 만들어 줌.
3. 해킹 공격의 원리를 조금 알고 있으면 멀웨어 개발 초보라도 멀웨어 제작 가능.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>