[보안뉴스 김형근 기자] 다크LLM(Dark LLMs)과 같은 AI가 생성하는 악성코드가 아직 업계 우려 수준에 이르지는 못했으나 스크립트 키디(Script Kiddies)나 외국어 사용자의 사이버 공격에 대한 진입 장벽을 낮추고 공격 완성도를 높이는 데 기여하고 있음이 드러났다.


[자료: gettyimagesbank]

글로벌 사이버 보안 선도 기업 팔로알토 네트웍스의 위협 인텔리전스 연구팀인 유닛 42는 현재 지하 시장에서 선두를 달리는 두 가지 다크LLM인 웜GPT 4와 카와이GPT를 분석했다.

이 두 도구는 기술적인 측면에서는 기대 이하지만, 낮은 수준의 해커들에게는 매우 유용하다는 특징을 동시에 보이는 것으로 나타났다.

다크 LLM의 현주소... 초보 해커의 조력자
웜GPT 4와 카와이GPT는 기본적인 악성코드를 작성하고, 언어 장벽에 관계없이 문법적으로 완벽한 피싱 이메일을 생성해 초보 해커의 공격 체인 여러 단계를 지원한다.

웜GPT는 2023년 여름에 등장해 챗GPT의 가드레일을 우회한 맞춤형 챗봇으로 판매됐으며 피싱, 악성코드, 익스플로잇 샘플로 훈련된 것으로 알려졌다.

웜GPT 4는 선행 모델과 마찬가지로 ‘경계 없는 AI’(AI without boundaries)로 마케팅되며, 연구팀의 테스트 결과 문법적으로 완벽한 랜섬웨어 노트와 PDF 파일 잠금 장치를 생성했다.

카와이GPT 역시 단조롭지만 기능적으로 유능한 피싱 메시지와 랜섬 노트, 그리고 데이터 탈취 및 리눅스 호스트의 측면 이동을 위한 간단한 파이썬 스크립트를 작성할 수 있다.

카와이GPT는 무료로 제공되며 500명 이상의 등록 사용자를 확보했다. 웜GPT 4의 텔레그램 커뮤니티는 500명 이상의 구독자를 보유하고 있어 다크LLM 시장은 규모가 커지고 있다.

사이버 보안기업 체크포인트 전문가들은 해커들이 웜GPT와 같은 선행 모델을 기반으로 새로운 도구를 적극적으로 개발하고 있으며, 특히 숙련된 행위자들은 자체 모델을 구축해 일반 상용 시장을 통하지 않고 거래하고 있다고 지적했다.

그러나 유닛 42 연구원들은 AI가 악성 활동에 광범위하게 채택되었는지를 추적할 명확한 증거나 도구가 부족해, 실제 사이버 위협 환경에 미치는 직접적인 영향을 입증하기는 어렵다고 인정했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>