생성형AI를 활용한 최초의 해킹 사건이 등장했다. 해커조직이 생성형AI 앤트로픽을 활용해 해킹 코드를 만들어 30여 곳의 기업과 정부기관을 공격했으며, 일부 기관은 실제 해킹 피해를 입은 것으로 나타났다. 해킹은 생성형AI가 자동적으로 수행했으며, 해커는 최종 승인과정에만 개입한 것으로 나타났다. AI발 해킹에 대비하기 위해 대책을 세워야 한다는 지적이 나온다.

미국 AI 전문기업 앤트로픽(Anthropic)은 지난 13일(이하 현지시간) 중국이 배후에 있는 것으로 추정되는 해커조직 ‘GTG-1002’가 앤트로픽의 AI 기반 코드 자동화 도구 클로드코드를 악용해 대규모 해킹 공격을 감행했다고 밝혔다. 지난 9월 IT기업, 금융회사, 화학 제조업체, 정부 기관 등 전세계 30여 곳의 기업과 기관이 해킹 공격을 당했다.

앤트로픽에 따르면 해커 그룹은 공격 대상을 설정한 뒤 AI를 통해 해킹 시스템을 개발했다. 클로드코드는 AI가 불법적인 일에 사용될 경우 기능을 차단하지만 해커 그룹은 자신들을 합법적인 사이버 보안 전문가이며 해킹 방어 테스트를 진행 중이라고 속였다. 이후 해커 그룹은 AI로 기업·정부 기관의 보안 취약점을 파악했으며, 개인정보를 유출했다. 앤트로픽은 “인간 해커가 따라잡을 수 없는 공격속도였다”고 설명했다.

AI 자동화 도구를 활용한 기업 해킹은 최초다. 특히 이번 해킹의 경우 AI가 해킹 작업을 수행했으며, 시스템 접근·데이터 탈취 등 최종 승인 과정에만 사람이 개입했다. AI 해킹 도구 역시 최첨단 악성코드가 아닌 일반적인 자동화 도구인 것으로 나타났다. 다른 해킹그룹도 이번 사건을 모방해 AI를 활용한 기업 해킹에 손쉽게 나설 수 있는 것이다.

AI 전문가인 누리 투르켈(Nury Turkel) 변호사는 지난 23일 월스트리트저널에 기고한 칼럼에서 “전통적인 해킹은 대규모 팀이 정찰, 취약점 식별 등 작업을 해야 한다. 며칠에서 몇 주가 걸릴 수 있는 작업이지만 AI 자동화를 통해 이 시간을 획기적으로 단축했다”며 “이는 베이징(중국 정부)이 정보 수집을 위해 AI를 활용하고 있음을 시사한다”고 경고했다.

이번 사건을 계기로 AI를 활용한 해킹이 일상화될 수 있다는 우려도 나온다. 경영 컨설팅기업 PWC는 지난 14일 보고서를 통해 “전문 지식이나 자원이 부족한 집단도 AI를 활용하여 한때 전문 해킹팀만이 할 수 있었던 일들을 수행할 수 있으며, 이는 잠재적으로 위험한 상황을 초래할 수 있다”고 밝혔다.

AI를 통한 해킹 방법이 등장함에 따라 해킹 방어 AI를 적극 활용해야 한다는 지적이 나온다. 미국 사이버사령부 사령관을 역임한 폴 나카소네(Paul Nakasone)는 지난 18일 국제 사이버안보 행사인 애스펀 사이버 서밋에 참석해 이번 사건을 언급하며 “해커가 전례없는 속도와 규모로 우리를 공격할 수 있다는 것을 알게 됐다. 중요한 건 AI가 사이버 방어에 어떻게 활용될지 여부다. 앞으로 사이버 안보와 관련해 AI를 활용할 수 있는 분야의 발전이 있을 것”이라고 했다.

누리 투르켈 변호사도 “AI를 활용한 해킹 방어 시스템이 표준이 되어야 한다. AI를 활용한다면 실시간으로 이상 징후를 감지할 수 있으며, 사고 대응 속도를 단축할 수 있다”며 “해커가 AI를 활용한 해킹 공격을 가속화한다면 이제 우리는 AI를 활용한 방어 속도를 높여야 한다”고 밝혔다.