[뉴스속 용어]챗GPT의 악한 버전 '웜GPT'

인간과 유사한 텍스트 생성하도록 설계돼
임원 등 사칭해 가짜 이메일로 기업 자금 탈취
초보자도 쉽게 사용해 해킹 범죄의 대중화 우려

챗GPT를 비롯한 생성형 인공지능(AI) 기술이 발전할수록 이를 활용한 사이버 범죄도 정교해져 간다. 올해부터 생성형 AI를 악용한 사이버 위협이 본격화될 것으로 전망되면서 악성 AI인 '웜GPT(WormGPT)'가 수면 위로 떠오르고 있다.

챗GPT의 악한 버전인 웜GPT는 피싱이나 BEC 공격을 수행하기 위한 목적으로 개발된 AI 모델이다. BEC(Business Email Compromise·비즈니스 이메일 침해) 공격은 기업을 겨냥한 가짜 이메일 기반의 사이버 사기 범죄다.

웜GPT(WormGPT) [사진출처=Hacking forum]

웜GPT는 인간과 유사한 텍스트를 생성하도록 설계돼 해커가 악의적인 공격을 수행할 수 있도록 돕는다. 예를 들어 해커가 특정 기업의 임원으로 사칭해 재무부서 직원에게 가짜 이메일을 보낸 뒤 은행 송금이나 은행 정보 변경 등을 요청해 자금이나 최고경영자(CEO) 정보를 탈취하는 식이다.

웜GPT를 처음 발견한 업체는 미국의 이메일 보안업체인 슬래시넥스트(SlashNext)다. 이 업체는 2023년 7월 열린 해킹 포럼에서 생성형 AI 범죄 도구인 웜GPT를 발견했다고 밝혔다. 슬래시넥스트는 웜GPT가 챗GPT와 비슷한 형식의 챗봇이며, 개인화된 피싱과 BEC 공격 등 사이버 범죄를 쉽게 저지를 수 있도록 설계됐다고 분석했다.

웜GPT는 AI 연구기관인 일루더AI(EleutherAI)가 2021년 출시한 오픈소스 언어 모델 GPT-J를 기반으로 제작됐으며, 특히 멀웨어(악성 소프트웨어)와 관련한 학습데이터를 집중적으로 학습한 것으로 드러났다. 또한 다른 생성형 AI와 달리 웜GPT에는 악의적인 요청에 응답을 제한하는 윤리 보호 장치 등이 모두 제거된 상태였다.

슬래시넥스트의 다니엘 켈리 연구원은 "웜GPT가 생성한 이메일은 전문적인 비즈니스 언어를 사용하며 철자나 문법 오류가 없어 피싱 시도를 식별하기 어렵다"고 말했다.

웜GPT(WormGPT) 인터페이스 [사진출처=Hacking forum]

올해부터 해커들이 생성형 AI 활용을 본격화할 것으로 전망되면서 사이버 범죄 위험성도 한층 높아지고 있다. 특히 웜GPT의 등장은 초보자라도 생성형 AI로 쉽게 범죄를 저지를 수 있어 '해킹 범죄의 대중화'로 이어질 수 있다는 우려가 나온다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 '2025년 사이버 위협 전망' 보고서를 통해 생성형 AI 모델을 악용한 사이버 보안 위협이 더욱 늘어날 수 있다고 경고했다. 올해 주요 사이버 위협으로는 ▲생성형 AI 활용 본격화 ▲디지털 융복합 체계에 대한 사이버 위협 증가 ▲국제 환경 변화에 따른 사이버 위협 증가 가능성 ▲무차별 디도스(DDoS·분산 서비스 거부) 공격 증가 예상 등을 꼽았다.

과기정통부는 챗GPT 외에 국산 생성형 AI의 활용도 확산하고 있으며, 생성형 AI 외에도 목적 자체가 불법적인 웜GPT와 같이 사이버 범죄에 특화된 악성 AI 모델이 다크웹을 통해 유통되고 있어 이를 기반으로 한 사이버 위협도 증가할 것이라고 전망했다.

최호경 기자 hocance@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>