⁠⁠⁠⁠⁠⁠⁠

ⓒ게티이미지뱅크

공격자가 악성기능 개발과 고도화, 탐지우회 등 악성코드 개발 전반에 걸쳐 인공지능(AI)과 거대언어모델(LLM)을 악용하는 것으로 나타났다. 현재 유포되는 악성코드에서 사용되는 스크립트에 AI나 LLM이 생성한 코드 형태가 빈번하게 발견된다. 특히 악성코드 생성에 AI를 활용해 보다 다양하고 고도화될 것으로 예측됨에 따라 대응책 마련이 요구된다.

S2W 위협 인텔리전스센터 '탈론'은 최근 이 같은 내용을 담은 보고서를 발표했다.

공격자는 다양한 공격 기법을 개발하고 더 정교화하기 위해 AI와 LLM을 사용하고 있다. 실제 오픈AI는 공격자가 멀웨어(Malware·악성 소프트웨어)를 개발하기 위해 챗GPT를 어떻게 사용하는지 공개하기도 했다. 공격자들은 특정 취약점이나 타깃의 인프라를 공격하는 방법을 검색했다. 또 사이버 보안 도구의 확장 프로그램에 대한 디버깅(Debugging·오류수정) 방법을 요청하기도 했다.

일반적으로 악성코드 개발자들은 코드를 제작할 때 자세한 설명(주석)을 추가하거나 사용자가 이해하기 쉬운 변수 이름을 사용하지 않는다. 하지만 생성형 AI로 작성된 코드는 특별한 지시가 없는 한, 코드의 각 단계를 설명하는 주석과 사용자의 언어에 맞춘 변수 이름을 포함한다. 공격자가 AI가 구현한 코드를 그대로 악성코드에 사용해 유포할 경우 AI·LLM '흔적'이 발견된다.

랜섬웨어 조직 '펑크섹'(FunkSec)이 대표적이다. 펑크섹은 악성코드 개발과 랜섬웨어 공격 시 메시지를 남기는 랜섬노트 생성에 LLM을 활용한 것으로 보인다. 또 펑크섹이 영어 사용 시 언어적 오류가 있고 기초적인 영어만 사용하는 데 반해 코드에선 영어를 구사한다.

보고서는 펑크섹의 코드가 LLM이 생성하는 코드와 패턴이 유사하고 다른 요소에도 LLM이 사용된 흔적이 나타난다며 LLM을 활용해 악성코드를 개발하고 있다고 추측했다.

피싱메일 본문 내 인터넷링크(URL) 또는 첨부파일를 통해 유포된 악성코드도 LLM의 도움을 받아 작성한 사례도 증가하고 있다. 또 악성코드를 다운로드하는 스크립트에 AI·LLM의 흔적이 발견되는 경우도 빈번하다. 시만텍(Symantec)에 따르면, 라다만티스(Rhadamanthys), 넷서포트(NetSupport), 클린업로더(CleanUpLoader), 모디로더(ModiLoader), 로키봇(LokiBot), 두니히(Dunihi) 악성코드를 다운로드 하는 악성 스크립트에 AI·LLM이 생성한 흔적이 발견됐다.

멀웨어 분석가 등 전문가들은 공격자가 AI를 활용해 탐지하기 어려운 멀웨어를 개발하거나 AI가 직접 악의적인 행위를 하도록 하는 등 AI 악용 사례가 늘어남에 따라 대응책을 준비해야 한다고 강조한다.

김재기 S2W 위협인텔리전스센터장은 “생성형 AI로 만들어진 악성코드의 특징을 알아내고 이를 방어에 활용해야 한다”면서 “보안 시스템에서 생성형 AI의 흔적을 찾아내도록 설정하면, AI로 생성된 악성코드를 더 쉽게 탐지할 수 있다”고 말했다.

그러면서 “최신 위협 정보를 꾸준히 업데이트하며 대응력을 높여야 한다”며 “최근 발견된 악성코드 사례에 대해 공유하거나 AI가 생성한 코드의 새로운 특징을 학습해 방어 전략에 반영하는 식으로 사내 보안에 내재화할 수 있다”고 덧붙였다.

조재학 기자 2jh@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.