1. SK바이오팜 내부 정보 유출

1. 개요

- 아키라(Akira) 랜섬웨어 그룹의 피해 기업에 SK라이프사이언스 등재

2. 주요내용

- 아키라 그룹은 딥웹에 SK라이프사이언스의 데이터 공개를 예고

- SK바이오팜 관계자는 랜섬웨어 공격을 받음을 인정 및 민감정보 유출은 없으며, 구체적인 사항은 비공개

 

2. RA 랜섬웨어 그룹에 의한 한국 기업의 정보 유출

1. 개요

- 바북(Babuk) 랜섬웨어의 소스코드를 이용해 미국과 한국의 기업들을 침해
- 주로 제조사, 자산 관리 업체, 보험사, 제약 회사 등에서 피해가 발견

2. 주요내용

- 한국 기업과 관련된 1.4TB 크기의 데이터 유출

- 피해자 데이터의 전체 파일 목록을 다운로드할 수 있는 URL을 제공

 

3. 챗GPT 크리덴셜 발견

1. 개요

- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출

2. 주요내용

- 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견

 

4. 제로다크웹 다크웹 모니터링

1. 개요

- 국내 100대 기업 및 국내 30대 금융사 대상 다크웹 정보 유출 모의 조사 수행

2. 주요내용

- 국내 100대 기업 관련 내용

> 99개 사에서 유출된 계정은 총 105만 2,537개, 사내 문서 유출은 87개 회사, 해킹 우려 PC는 1만 5,028대 (81개 사) 등

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

 

- 국내 30대 금융사 관련 내용

> 메일 계정 유출 19만 6,395개, 사내 문서 유출 23개 금융사, PC 해킹 우려 18개 금융사 1,137대

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

3. 대응방안

- 즉시 보안 전문가 및 전문 회사를 통해 유출 경로 파악
- 유출된 정보를 보호하기 위해 비밀번호 변경 및 보안 인증 절차 강화
- 유출 경로 및 방법을 파악한 경우 관련 상세내용을 사내고지하고 사원 전원이 경계심을 갖도록 교육
- 자동 감사 솔루션을 사용하여 보안 문제 점검 및 감시
- 새로운 보안 절차 작성, 전사 취약성 확인, 지속적 모니터링 시스템의 도입 및 정기 유지보수 계획 검토

'개인정보보호(법) > DDW' 카테고리의 다른 글

DDW 동향  (1) 2024.02.08
DDW 동향  (0) 2023.12.13
DDW 동향  (0) 2023.07.31
DDW 동향  (0) 2023.05.11
DDW 동향  (0) 2023.04.03
요약 - 정보 탈취 멀웨어들이 챗GPT 크리덴셜을 탈취하여 다크웹에서 유포
- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출되었다는 조사 결과가 발표
내용 - 정보 탈취형 멀웨어
> 기기 정보, 쿠키, 브라우저 히스토리, 문건 등 거의 모든 유형의 정보를 훔치는 기능을 가짐
> 탈취 후 계정 엑세스, 다크웹 판매 등 2차 피해 발생

- 보안 업체 그룹IB(Group-IB) 조사
> 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견
> 정보 탈취 멀웨어 별 분포
① 라쿤(Raccoon): 78,348개
② 비다(Vidar): 12,984개
③ 레드라인(Redline): 6,773개

> 지역 별 분포
① 인도 : 12,632개
② 파키스탄 : 9,217개
③ 브라질 : 6,531개
④ 베트남 : 4,771개
⑤ 이집트 : 4,558개

- 챗GPT가 최초 공개 되었을 때 다크웹에 등장한 챗GPT 크리덴셜은 2,766개
> 23.01 약 11,000개 이상
> 23.02 약 22,000개 이상
> 23.05 약 26,802개
> 챗GPT 크리덴셜에 대한 수요와 공급이 다크웹에서 꾸준히 높아지고 있다는 의미
기타 - 보안 업체 벌칸사이버(Vulcan Cyber)
> 챗GPT 크리덴셜이 아닌 정보 탈취형 멀웨어에 집중이 필요
> 탐지되지 않거나 이상 징후가 확인되지 않는 공격에 대해서는 무관심한 현상을 고쳐야함
> 정보 탈취형 멀웨어에 대한 탐지 능력이 좀 더 키워져야 함

- OpenAI
> 챗GPT의 문제가 아닌 사용자들의 장치에 존재하는 악성코드의 결과
> 현재 노출된 계정을 조사 중

- 주기적 비밀번호 변경, MFA 적용 등으로 계정 관리 필요

 

보안뉴스

 

어느 새 다크웹의 인기 아이템이 된 챗GPT 크리덴셜, 정보 탈취 멀웨어가 문제

다양한 정보 탈취형 멀웨어가 지난 한 해 동안 활발히 활동했고, 그 결과물들인 각종 정보들이 다크웹에 끊임없이 유통되고 있다. 그런데 어느 순간부터 그 정보들 속에 챗GPT 계정의 크리덴셜이

www.boannews.com

 

Over 100,000 Stolen ChatGPT Account Credentials Sold on Dark Web Marketplaces

Over 100,000 OpenAI ChatGPT account credentials have been compromised and sold on the dark web. Cybercriminals are targeting the valuable information.

thehackernews.com

'보안뉴스' 카테고리의 다른 글

USB 활용한 사이버 공격, 아직 알 수 없는 이유로 급증하고 있어  (0) 2023.07.19
개인정보·답안지 유출 등 말 많고 탈 많은 ‘4세대 나이스’... 교육계 일대 ‘혼란’  (0) 2023.06.27
MS, “6월초 있었던 아웃룩/클라우드 기능 장애는 사이버 공격에 의한 것” 외 3건  (0) 2023.06.19
제로데이 개념증명용 코드인 줄 알았는데 사실은 멀웨어 외 2건  (0) 2023.06.19
사상 첫 자동화 SaaS 랜섬웨어 공격을 성공시킨 오메가 일당들  (0) 2023.06.13
요약 - 챗GPT를 업무에 활용하기 시작하면서 각종 민감 정보를 입력한다는 지적
- 챗GTP를 활용 중 개인정보, 고객 정보가 노출되지 않도록 막아주는 프라이빗 챗GPT(PrivateGPT) 등장
내용 - 프라이빗AI(Private AI)社에서 오픈AI(OpenAI)의 챗GPT를 기반으로 프라이빗GPT 개발
> 사용자와 AI 중간에 위치해 사용자 입력에서 민감정보를 지워낸 후 AI의 응답에 다시 사용자가 입력한 민감정보를 대입
> 민감정보: 의료, 신용카드, 연락처, 생년월일, 주민등록번호 등

- 마이크로소프트(MS) 또한 기업 내부 데이터 유출을 우려하지 않아도 되는 '프라이빗 챗GPT' 계획 발표
> 데이터를 별도 공간에 보관하는 기업 전용 클라우드 서비스를 출시할 예정
> 애저클라우드에 다른 고객과 격리된 전용 서버에서 챗GPT를 실행하도록 해 데이터가 공유되거나 유출되는 것을 원천 차단하겠다는 것
> 가격은 일반 챗GPT 버전에 비해 최대 10배에 달할 것

- 오픈AI는 챗GPT를 이용자의 채팅 내용을 외부에 노출하지 않는 '비공개 모드' 출시
> 사용자가 공개 여부를 선택하도록 한 기능

- 사용자가 데이터를 챗GPT 창에 입력할 때, 그 데이터는 대형 언어 모델(LLM)의 데이터셋에 포함 됨
> 차세대 챗GPT 혹은 다른 인공지능 알고리즘을 훈련시키는 데 활용
> 미래 어느 시점에 추출하는 것이 가능하므로, 훈련용 데이터 혹은 사용자가 입력하는 데이터에 대한 안전 장치 마련 필요
※ 오픈AI(OpenAI)는 챗GPT에 입력된 질문 내용을 임직원이 확인하고 학습 데이터로 활용

- 관련 사례
① 23.03 사용자가 챗GPT와 나눈 대화 주제 이력 노출
> 챗GPT와 사용자 간 대화는 사용자가 나중에 다시 열람할 수 있게 목록화돼 표시창에 저장
> 자신의 대화 목록이 아닌 타인의 대화 목록이 노출
※ 대화 내용은 노출되지 않았고, 표시창에 저장된 대화 주제 이력이 노출된 것이며, 누구의 목록인지 드러나지 않음
> 23.03.20 오픈AI는 챗GPT 서비스를 일시 종료하고, 같은 날 오후 늦은 시간에 대화 기록 표시창을 막아 놓은 채 서비스를 재개
※ 익명의 오픈 소스 소프트웨어의 오류로 인해 문제가 발생

② 23.03 삼성전자 디바이스솔루션(DS·반도체) 부문의 기업 정보가 챗GPT를 통해 정보 유출
> 챗GPT에 삼성전자 기업 정보를 입력하는 3건의 사고가 난 것으로 확인
※ 설비정보 유출 2건, 회의내용 유출 1건
※ 챗GPT 사용을 허가하며 임직원을 대상으로 “사내 정보 보안에 주의하고 사적인 내용을 입력하지 말라”는 공지 전달
> 해당 사실을 인지한 후 한 질문당 업로드 용량을 1024바이트로 제한하는 등 ‘긴급 조치’ 사항을 적용
※ 유출 사고를 낸 임직원을 대상으로 사고의 경위를 조사하고, 필요시 징계를 내릴 방침
⒜ 사고1: DB 다운로드 프로그램의 소스 코드 실행 중 오류 -> 문제가 된 소스 코드 전부를 복사 -> 챗GPT 입력, 해결 방법 문의
⒝ 사고2: 수율, 불량 설비 파악을 위한 프로그램 코드를 챗GPT에 입력
⒞ 사고3: 녹음한 회의 내용을 문서 파일로 변환한 뒤 챗GPT에 입력

③ 기타
> 임원A는 기업 전체의 전략이 담긴 문서를 통째로 챗GPT에 입력한 후 파워포인트로 변환 요청
> 의사A는 환자의 이름과 의료 기록을 챗GPT에 입력한 후 보험사에 보낼 서신 작성 요청
기타 - 챗GPT를 사용할 때 기본 보안 수칙을 완전히 잊는 듯한 사용자들이 여전히 많은 상황
> 사이버페이븐(Cyberhaven)社 보고서
① 민감한 데이터를 챗GPT에 입력하려는 사용자들이 4.2% 
② 챗GPT에 붙여 넣는 내용 가운데 민감한 정보가 11%를 차지
> 자동으로 녹취록을 작성해 주는 인공지능 서비스인 오터(Otter.ai): 인공지능이 식별한 화자와 중요하다고 표시한 문장, 태깅된 단어와 같은 정보를 내부에 보관
> API를 통해 챗GPT를 자신들의 서비스에 직접 접목하기 시작 - 더 많은 데이터가 LLM으로 유입

- 21.06 ‘훈련 데이터 추출 공격(training data extraction attack)’이라는 기법이라는 걸 개발해 논문으로 발표
> 애플, 구글, 하버드대학, 스탠포드대학 등의 연구원들은 공동 연구
> 인공지능 모델을 훈련시키는 데이터를 추출하여 개인 식별 정보 등 민감 정보를 빼내는 데 성공했던 것

- 인공지능 사용과 관련된 가이드라인을 만들어 교육해야 할 필요
> 직원들이 챗GPT에 제출하는 데이터를 파악하고 통제하는 일이 만만치 않다고 경고
> 조직들은 기밀 데이터 처리에 적합한 애플리케이션들이 잘 문서화되도록 정보보호정책을 업데이트해야 함
> 문서화가 잘 되어 있고 충분한 정보를 바탕으로 수립된 정책이 그런 정보 흐름 통제의 시작점
> 신중하게 이런 새로운 기술을 비즈니스 개선에 활용할 수 있는 방법을 탐구

 

보안뉴스

 

챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT

직원들이 챗GPT를 업무에 활용한답시고 각종 민감 정보를 마구 입력하고 있다는 지적이 기업들 사이에서 나오고 있다. 그런 가운데 한 데이터 프라이버시 전문 기업이 이러한 위험으로부터 기업

www.boannews.com

 

MS, '프라이빗 챗GPT' 출시한다 - AI타임스

마이크로소프트(MS)가 기업 내부 데이터 유출을 우려하지 않아도 되는 \'프라이빗 챗GPT\'를 내놓는다.디인포메이션은 2일(현지시간) MS 내부 사정에 정통한 소식통을 인용해 MS가 상반기 중에 기업

www.aitimes.com

 

챗GPT 버그 공포…내 질문 목록을 남들이 봤다 | 중앙일보

챗GPT와 사용자 간 대화는 사용자가 나중에 다시 열람할 수 있게 목록화돼 표시창에 저장되는데, 이 중국어 대화 목록은 자신의 것이 아니라고 했다. 오픈AI의 최고경영자(CEO) 샘 알트먼은 22일 자

www.joongang.co.kr

 

[단독] 우려가 현실로…삼성전자, 챗GPT 빗장 풀자마자 ‘오남용’ 속출

우려가 현실이 됐다.삼성전자가 디바이스솔루션(DS·반도체) 부문 사업장 내 챗GPT(ChatGPT) 사용을 허가하자마자 기업 정보가 유출되는 사고가 났다.

economist.co.kr

 

챗GPT 사용해 업무 능력 향상하려다 민감한 정보와 기밀까지 입력해

챗GPT로 인해 새로운 위협이 불거지고 있다는 지적이 나왔다. 챗GPT 열풍이 대형 언어 모델(Large Language Model, LLM)이라는 기술 자체에 대한 관심의 급증으로 이어졌는데, 수많은 사용자들이 이 기술

www.boannews.com

 

기업 민감 데이터를 ChatGPT에 입력해도 될까

오픈AI의 챗봇인 챗GPT의 잠재력과 유용성이 계속 대서특필되고 있다. 하지만 보안 분야는 민감한 비즈니스 데이터를 챗GPT에 입력하면 조직들이

www.itworld.co.kr

'보안뉴스' 카테고리의 다른 글

채널톡 사건으로 불거진 개인정보 무단 공유 논란, 동의 제도 개선으로 해결될까  (0) 2023.05.22
오늘은 ‘세계 패스워드의 날’... 하지만 패스워드 관리는 여전히 ‘허술’  (0) 2023.05.05
멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술  (0) 2023.05.03
엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼  (0) 2023.04.22
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
요약 - 챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 전문가 발표
> 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없음
> 챗GPT에는 악의적인 활용을 차단하는 보호 기능이 탑재되어 있으나, 우회하는 방법들이 등장 중
내용 - 해당 전문가는 과거에 멀웨어를 개발해 본 경험이 전무하며, 멀웨어를 만들 때에 단 한 줄의 코드도 스스로 작성하지 않았음
> 챗GPT로 간단한 명령 실행문을 여러 개 작성 후 하나로 합침

-특정 문서를 자동으로 검색해 찾아내고, 찾아낸 문서들을 잘게 쪼개 이미지 파일에 삽입하여 구글 드라이브로 업로드 하는 멀웨어
> 4시간만에 멀웨어를 완성하고 바이러스토탈에서 탐지되지 않는 것을 확인

- 다음 사유로인해 연구 결과를 발표
> ChatGPT가 마련한 악용 방지 보호장치를 우회하는 것이 얼마나 쉬운지
> 코드를 작성하지 않고 ChatGPT만 사용하여 고급 악성코드를 생성하는 것이 얼마나 쉬운지

- 멀웨어 작성 과정
① 최초 멀웨어 생성 요청에는 ChatGPT 거절

② 로컬 디스크에서 5MB보다 큰 PNG 파일을 검색하는 코드를 만들어달라 요청

③ 발견된 PNG 파일들에 스테가노그래피 기법을 덧입히는 코드 요청

④ 내문서, Desktop 및 AppData 폴더에서 워드 문서와 PDF 문서를 검색해 찾는 코드 요청
> 유출할 문서를 찾기위한 목적

⑤ 유출된 파일을 구글 드라이브에 업로드하기 위한 코드 요청
> 구글 도메인의 경우 대부분의 기업이 신뢰하기 때문

⑥ 1MB보다 큰 파일의 경우 분해해 PNG 스테가노그래피 파일에 삽입하는 코드 요청

⑦ 테스트 결과 정상 동작 확인

- 생성된 멀웨어가 바이러스토탈에서 탐지되는지 확인
> 테스트 1: 5/60 Malicious - 스테가노그래피 관련 라이브러리를 변경 진행
> 테스트 2: 2/60 Malicious - 추가적인 작업 진행
> 테스트 3: 0/60 Malicious
기타 - 이번 작업을 진행하면서 걱정되는 점
> 인공지능을 기반으로 한 챗봇은 난독화의 목적을 스스로 이해하고 있는 것처럼 보임
> 탐지 우회와 관련된 내용을 구체적으로 요청하거나 언급하지 않았는데도, 탐지가 되지 않는 방법을 스스로 찾음

- 챗GPT를 둘러싼 각종 보안 연구가 현재 활발히 진행 중
> 현재 보안 업계에서는 챗GPT가 피싱 공격을 매우 효과적으로 바꿔준다는 데에 동의
> 하지만, 챗GPT가 멀웨어를 만들어준다거나 새로운 익스플로잇을 발견해낼 수 있다는 것에 대해서는 분석이 더 필요

- 멀웨어 전문가들은 챗GPT를 통해 화면 보호기 파일을 생성한 후 실행파일을 삽입하는 실험을 진행
> 챗GPT에 매일 기업에서 사용하는 애플리케이션들의 쉬운 활용법을 안내하기 위한 작업으로 입력
> 챗GPT는 아주 상세하게 SCR 파일(화면 보호기 파일)에 어떻게 실행파일을 삽입하고 자동으로 실행시키는지 답변

 

보안뉴스

 

챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공

챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 보안 전문가가 발표했다. 이 멀웨어는 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없다고 한다. 챗G

www.boannews.com

 

I built a Zero Day with undetectable exfiltration using only ChatGPT prompts

ChatGPT is a powerful artificial intelligence language model that can generate human-like text in response to prompts, making it a useful tool for various natural language processing tasks. As I mentioned earlier, one of these tasks is writing code. So, I

www.forcepoint.com

 

'보안뉴스' 카테고리의 다른 글

엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼  (0) 2023.04.22
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건  (0) 2023.03.15
앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니  (0) 2023.03.06
요약 - 다크웹 내 포럼에서 활동하는 사이버 범죄자들이 챗GPT를 악성 공격에 활용한 사례들이 공유
- 챗GPT를 사용해 악성코드나 피싱메일 등 해킹도구를 개발한 사례가 적발
※ 챗GPT: 미국 오픈AI가 개발한 대화형 인공지능(AI) 채팅로봇. 대규모 AI모델인 ‘GPT-3.5’ 언어 기술을 사용해 이용자와 실시간으로 대화가 가능
내용 - 오픈AI의 서비스약관
> 랜섬웨어, 키로거, 바이러스 또는 일정 수준의 피해를 입히려는 기타 소프트웨어 생성을 시도하는 콘텐츠를 악성코드로 정의하고 생성을 구체적으로 금지
> 사이버 범죄를 겨냥한 사용과 스팸 생성 시도도 금지

- 챗GPT가 작성해준 코드 스크립트에 약간의 작업만 거치면 랜섬웨어나 키로거 등을 만들 수 있다는 사실을 확인
> 공격자들은 챗GPT가 작성해준 코드 스크립트를 일부 수정 작업을 거쳐 랜섬웨어 등으로 탈바꿈
> 챗GPT를 통해 해커가 기존보다 더 신뢰할 수 있고 적법한 것처럼 보이는 피싱 이메일을 만들 수 있게 될 것

> 이같은 방법을 타 공격자들과 공유

- 다크웹 내 공개 사례
① 다크웹 해킹 포럼에서 누군가 챗GPT를 활용해서 예전부터 잘 알려진 멀웨어를 개발하는 실험을 진행했다고 공개
> 챗GPT가 자신의 명령에 따라 개발한 파이선 기반 정보 탈취 멀웨어의 코드 일부를 공유_12가지 종류의 파일을 훔쳐내는 멀웨어
> 챗GPT에게 명령을 내려 PuTTY SSH와 텔넷 클라이언트를 다운로드 받는 자바 코드를 만들었고, 파워셸을 통해 피해자 시스템에서 몰래 실행시키는 데에 성공

② 12월 1일 사용자 USDoD가 챗GPT를 사용해 생성한 파이선 스크립트를 다크웹에 공개
> 블로피시(Blowfish)와 투피시(Twofish)라는 암호화 알고리즘을 사용해 데이터를 암호화 하고 복호화 하는 기능
> 공격자들이 악의적인 목적을 달성하기 위해 얼마든지 활용할 수 있으며 경험 없이도 쉽게 뭔가를 만들어 내는 게 가능하다고 강조

③ 챗GPT를 사용해 완전 자동화 된 다크웹 시장 플랫폼을 구축
> 훔쳐 낸 은행 계좌 및 지불 카드 데이터를 거래하는 데 특화된 시장이
> 자신의 말을 입증하기 위해 서드파티 API를 활용하는 방법까지 공개
 
- 챗봇은 이미 예전부터 범죄 시장으로의 진입 장벽을 크게 낮출 기술로 꼽혔었음
> 챗GPT와 같은 챗봇은 사람의 말을 듣고(혹은 읽고) 반응하는 기술
> 공격자들이 멀웨어를 손쉽게 대량으로 만들어내는 것이 챗GPT가 단기간에 가져올 수 있는 가장 실질적인 위협
> 기술을 갖춘 공격자가 챗봇을 악용하면 이전과 비교할 수 없는 발전을 이룰 수 있으며, 아무도 생각하지 못했던 새로운 멀웨어를 만들어낼 수 있음

- 챗GPT 언어모델이 보다 정교해지면 공격자들의 간단한 명령어만으로 악성코드나 피싱메일 프로그램을 보다 쉽게 개발할 수 있음
> 초보 해커도 손쉽게 피싱 범죄에 가담하는 등 사이버 범죄 진입 장벽이 대폭 낮아질 것
> 부족한 기술적 배경지식과 전문 기술을 보완할 가능성
> 시스템 취약점을 찾아내고 이를 악용한 제로데이 공격까지 유발하는 단계로 진화될 수 있음
결론 - 오픈AI와 인공지능 개발자들은 인공지능 알고리즘을 향상시키는 중
> 공격자들이 무료로 얻어 활용할 수 있는 도구들이 무한정 태어나고 있다는 뜻
> 챗GPT를 교란시켜 악의적 목적을 달성하는 방법은 해킹 포럼들에서 활발히 공유되는 중
> 지금 향상시키고 있는 각종 인공지능 알고리즘이 악성 명령을 판단해 거부할 수 있도록 훈련시키는 것이 필요

- 규제를 통해 챗GPT가 범죄에 사용되지 못하도록 보호가 시행돼야 할 필요
> 챗GPT를 활용한 사이버 범죄가 아직까지 위협적인 수준은 아니라고 지적 有
> 코드 품질에 대해 알 수 없는 상황이며, 완성도 높은 코드를 생성한 사례는 보고되지 않음
> 챗GPT를 규제하는 것은 섣부른 판단

- 오픈AI 측에서 내부 모니터링 및 차단 등 내부적인 대응 방법을 찾아낼 필요
> 오픈AI 측도 이러한 위험성을 인지하고 AI가 범죄에 악용되는 것을 막기 위해 시스템을 고도화하는 중
> “불법적이거나 비윤리적인 목적으로 코드를 개발하는 것을 도와줄 수 없다”라며 답변을 거부
> 노골적인 질문에 대한 답변만을 거부할 수 있을 뿐, 우회적인 질문을 입력할 경우 답변을 얻을 수 있다고 설명

- 업계와 정부 측이 이러한 악용사례를 예방하기 위해 프로그램을 고도화하고 다양한 해결책을 제시할 필요

 

보안뉴스

 

챗GPT 활용한 악성 공격 실험 사례, 이미 여럿 존재한다

지난 11월 오픈AI(OpenAI)에서 챗GPT(ChatGPT)라는 인공지능 챗봇을 공개한 이후 수많은 보안 전문가들이 목소리를 모아 예언을 하나 했었다. 사이버 범죄자들이 챗봇을 이용해 멀웨어를 작성하는 등

www.boannews.com

 

비밀번호 털어간 초보 해커, 공범은 '챗GPT'? - 머니투데이

챗GPT로 악성코드·데이터 암호복호화 프로그램 개발 다크웹에 챗GPT 활용 사이버범죄 방법 다수 공유"코드 품질 알 수 없다…아직 위협적이진 않아&quo...

news.mt.co.kr

 

"다크웹에서도 챗GPT"...사이버 공격 활용 사례 늘어난다 - 테크M

초거대 인공지능(AI) 기반 대화형 챗봇 \'챗GPT\' 파장이 거세다. 사용자 질문에 대답을 하는 단순한 기능을 넘어, 각종 창작 활동이 가능하다는 사실에 전세계가 술렁이고 있다.특히 논문, 연설문,

www.techm.kr

 

‘챗GPT’ 스팸 이메일도 쓴다… AI 활용 ‘해킹 공격’ 주의보

챗GPT 스팸 이메일도 쓴다 AI 활용 해킹 공격 주의보 세계적으로 열풍인 챗GPT, 해커도 활용해 어색하지 않은 피싱 이메일·간단한 악성코드 개발 악용 사례 막으려고 해도 여전히 우회 가능

biz.chosun.com

 

다크버스에도 챗GPT 열풍…초보해커들도 쉽게 악성코드 제작

‘제2의 알파고 쇼크’로 불리는 ‘챗GPT’가 미래 일자리·교육·사회를 바꿀 지각개편의 핵(核)으로 주목을 받고 있는 가운데, 사이버 범죄자들이 챗GPT를 악성코드와 다크웹 플랫…

www.donga.com

 

AI 챗봇 챗GPT, 악성코드 작성에도 쓰인다

오픈AI의 대화형 AI 챗봇 '챗GPT'기 해커의 악성코드 작성에 쓰이고 있는 것으로 확인됐다.9일(현지시간) 미국지디넷에 따르면, 체크포인트는 해킹 커뮤...

zdnet.co.kr

 

'보안뉴스' 카테고리의 다른 글

VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용 외 2건  (0) 2023.02.11
[패스워드리스 체험기] 네이버의 야심찬 선언 “비밀번호여, 이젠 안녕”  (0) 2023.02.08
챗GPT 등 떠오르는 신기술들은 많은데, 제어 장치는 마련돼 있나  (2) 2023.02.06
구글 키워드 검색으로 노출되는 피싱 페이지 주의... 구글 애즈 악용한 공격  (0) 2023.02.05
LG유플러스, 디도스 공격으로 또 인터넷 장애... 11만명 개인정보 유출도 추가 확인 외 3건  (3) 2023.02.05
요약 - 새롭게 떠오르는 기술들이 많으나, 그 특징과 장점들이라는 것이 약이 될지 독이 될지 아무도 예측할 수 없음
내용 -  최근 챗GPT(ChatGPT)라는 인공지능 기술이 일반인 사이에서 화제
> 오픈에이아이(Open AI)가 2022년 12월 1일 공개한 대화 전문 인공지능 챗봇
> Open AI에서 만든 대규모 인공지능 모델인 ‘GPT-3.5’ 언어 기술을 사용

- 딜로이트가 이와 관련하여 조사를 진행
> 90%의 응답자가 “신기술들의 발전과 활용을 위한 법적/윤리적 가이드라인이 부족한 것 같다”고 답변

- 산업 내 전문가들과 시장 분석가는 상반된 입장
> 가이드라인이 있다는 것을 종사자들조차 인지하지 못하고 있다는 것
> 신기술이기 때문에 예측 못한 결과들이 자꾸만 같이 나오고 있다는 것이 문제
> 현재 개발되고 있는 기술 하나하나에 상응하는 규정이나 윤리 가이드라인을 만드냐 마느냐를 문제 삼을 것이 아니라, 예측이 불가능한 것들을 예측할 수 있게 해 주는 구조적 원리를 고안해야 함

- HTTP 쿠키 기술의 발전 역사를 예시로 들 수 있음
> HTTP 쿠키: 사용자가 웹사이트에 방문할 때 각종 데이터와 활동 내용들을 기록하는 기술
> 사용자의 모든 행위를 임의로 기록한다는 것의 위험성이 쿠키 초창기에서부터 제기
> 사용자들이 이런 기록 행위에 동의를 해야만 한다는 인식이 사회적으로 생기고 그걸 기업들이 받아들이기 시작한 건 겨우 5년

- 문제는 규정의 부재가 아니라, 규정이 있다는 사실에 대한 인식의 부재
> 의외로 신기술 개발과 발전에 대한 가이드라인들이 존재하나 오래 전부터 있어 왔던 건 아니고 최근 들어 생겨나기 시작
> ‘미완성’ 혹은 ‘미성숙’ 기술들을 도입하는 속도가 전례를 찾기 힘들 정도_가이드라인 개발의 더딤이 더 크게 느껴지고, 그래서 가이드가 대부분 없다고 여김
> 신기술이 발명되는 것과 그 기술이 책임감 있게 사용되는 것의 간극이 너무 크고, 거기서부터 온갖 윤리적, 사회적 논의들이 나오고 있는 것
> 특정 기술을 개발한다고 했을 때 투명성과 설명 가능성을 처음부터 염두에 두고 설계를 하는 것이, 나중에 예상치 못한 결과가 나왔을 때 대처하는 것보다 나음

- 윤리적 딜레마가 생겨나는 데에는 몇 가지 중요한 요소가 있음
> 인공지능의 경우 비윤리적인 활용 문제, 데이터 프라이버시 문제, 편향성 문제를 고려_규정과 표준들도 세 가지 문제 안에서 마련
> ‘인공지능의 비윤리적 활용’이 사회에 미칠 수 있는 영향에 대해서는 충분히 논의되지 않음
> 기술의 활용이라는 것이 개발사나 사용자의 고유 권리라는 관념들이 존재
> 윤리학자와 철학가들을 초빙해 같이 논의를 이끌어 가는 것도 좋은 방법

- 가이드라인들은 찾아보면 생각보다 많으나 그것을 각 조직이 상황에 맞게 해석해 적용하는 것이 어렵다는 것
기타 - 여러 국가들이 인공지능, 양자컴퓨터, 자율 주행 자동차와 같은 기술들을 제대로 활용하기 위한 각종 제도들을 고민 중
① 세계 기술 정책 위원회(Technology Policy Council)의 ‘책임 있는 알고리즘 시스템의 원칙 선언(Statement on Principles for Responsible Algorithmic Systems)’
> 아홉 가지 원칙이 담겨져 있음
> 정당성과 역량, 피해의 최소화, 보안과 프라이버시, 투명성, 해석 가능성과 설명 가능성, 유지 가능성, 경쟁 가능성과 감사 가능성, 책임, 환경적 충격 최소화

② 유럽평의회의 ‘인공지능법(Artificial Intelligence Act)’
> 인공지능의 윤리적인 개발을 위해 지역 전체에 영향을 주는 법적 장치를 마련하고자 한 건 이 인공지능법이 처음

③ 세계경제포럼(WEF)의 ‘양자컴퓨팅거버넌스원칙(Quantum Computing Governance Principles)’
> 양자컴퓨터에 관한 가이드라인과 표준

④ 미국의 ‘인공지능 권리장전(AI Bill of Rights)’

⑤ 영국 데이터윤리혁신센터(Centre for Data Ethics and Innovation)의 ‘효과적인 인공지능 보장 생태계를 위한 로드맵(Roadmap to an effective AI assurance ecosystem)’

- 규정과 표준이 정해지면 혁신이 저해된다는 시각이 만연
> 오히려 위험한 낭떠러지에 떨어지지 말라는 안전 펜스와 같은 역할을 할 때가 더 많음

 

보안뉴스

 

챗GPT 등 떠오르는 신기술들은 많은데, 제어 장치는 마련돼 있나

새롭게 떠오르는 기술들이 넘쳐나고 있다. 여러 가지 특징과 장점들을 선보이고 있다. 다만 그 특징과 장점들이라는 것이 약이 될지 독이 될지 아무도 예측할 수 없다. 최근 챗GPT(ChatGPT)라는 인

www.boannews.com

'보안뉴스' 카테고리의 다른 글

[패스워드리스 체험기] 네이버의 야심찬 선언 “비밀번호여, 이젠 안녕”  (0) 2023.02.08
챗GPT 활용한 악성 공격 실험 사례, 이미 여럿 존재한다 외 5건  (0) 2023.02.08
구글 키워드 검색으로 노출되는 피싱 페이지 주의... 구글 애즈 악용한 공격  (0) 2023.02.05
LG유플러스, 디도스 공격으로 또 인터넷 장애... 11만명 개인정보 유출도 추가 확인 외 3건  (3) 2023.02.05
하이브 랜섬웨어 일망타진한 국제 수사기관들, 피해자들도 구제  (1) 2023.02.04

+ Recent posts

티스토리툴바