챗GPT와 달리 같은 생성형 AI를 개발하는 오픈AI는 마이크로소프트와 협력해 악의적 사이버 활동에 AI를 사용하려는 공격자 그룹 5곳을 차단했다고 보고했다. 두 그룹 모두 러시아와 북한 같은 국가가 뒤에 존재한다는 것.
오픈AI는 마이크로소프트와의 협력과 정보 공유를 바탕으로 구글은 특정 국가와 관련한 악의적 공격자 그룹 활동을 방해했다고 밝혔다. 이번에 확인된 5개 그룹을 보면 먼저 Forest Blizzard(STRONTIUM). 포레스트 블리자드는 러시아 GRU 소속 26165부대와 연결된 군사첩보기관으로 방위, 수송/물류, 정부, 에너지, 비정부조직, 정보 기술 등 다양한 분야에서 활동하고 있다. 마이크로소프트는 포레스트 블리자드 전략이 우크라이나나 더 광범위한 지역에서 러시아 외교 정책과 군사 목표에 중요한 지원 역할을 수행하고 있다고 평가하고 있다. 마이크로소프트에 따르면 포레스트 블리자드는 위성이나 레이더 연구, 활동에 사용하는 스크립트 코딩에 대규모언어모델을 사용하고 있었다고 한다.
다음은 Emerald Sleet(THALLIUM). 에메랄드 슬릿은 2023년 활발하게 활동한 북한계 공격자 그룹으로 북한 전문가로 유명한 인물에게 스피어피싱 공격을 해 타국 대북 외교 정책에 대한 정보를 수집했다. 이곳은 이런 스피어피싱에 의한 첩보 활동 외에도 윈도 취약성 조사, 스크립트 코딩 등에 LLM을 사용했다.
다음은 Crimson Sandstorm(CURIUM). 크림슨샌드스톰은 이슬람혁명방위해 IRGC와 관계가 있다고 여겨지는 이란 공격자 그룹. 적어도 2017년부터 활동을 계속하고 있다. 공격 대상은 방위나 해운, 운수, 헬스케어 등 여러 분야에서 공격을 위한 악성코드를 하는 등 활동이 확인되고 있다. 크림슨샌드스톰은 공격에 사용하는 피싱 메일에 LLM을 사용하고 원격 서버 통신이나 인터넷 스크래핑 등을 하는 코드 스니펫을 생성하거나 악성코드 검출을 회피하는 코드나 윈도 안티바이러스 기능을 무효화하는 방법을 LLM으로 개발하기도 했다.
다음은 Charcoal Typhoon(CHROMIUM). 차콜타이푼은 대만과 태국, 몽골, 말레이시아, 프랑스, 네팔 내를 대상으로 정부 조직과 고등 교육 기관, 통신 인프라, 석유와 가스 등 라이프 인프라, 정보 기술 인프라에서 정보 수집 등을 실시하고 이다고 한다. 이 정보를 수집하고 활동하는데 필요한 스크립트를 생성하고 번역, 소셜 엔지니어링에 LLM을 사용하고 있다는 게 밝혀졌다.
마지막은 Salmon Typhoon(SODIUM). 살몬타이푼도 중국 관련 공격자 그룹으로 미국 방위 계약자나 정보 기관, 암호 기술 분야 단체를 표적으로 하고 있다. 특정 개인이나 관심 있는 주제 조사, 악의가 있는 코드 개발, 기술 문서 번역 등에 LLM을 이용하고 있었다고 한다.
오픈AI는 이들 공격자 그룹 5곳과 관련한 계정과 데이터에 대해 모두 현재 비활성화됐다고 밝혔다. 마이크로소프트와 오픈AI는 악의적 국가 관련 공격자 그룹을 모니터링하고 이 활동을 방해하고 공격자 그룹 악용으로부터 얻은 피드백으로 AI 안전성을 높이고 공공 투명성을 높이기 위해 악용 정보를 계속 제공하는 등 AI 안전성에 대한 다각적인 접근을 앞으로도 취할 것이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.