사이버 범죄자들은 ​​ChatGPT와 같은 AI 도구를 활용하여 더욱 설득력 있는 피싱 공격을 만들어 사이버 보안 전문가들을 놀라게 하고 있습니다.

작년 정도에 의심스러워 보이는 이메일이 급증했다는 사실을 발견했다면 부분적으로는 우리가 가장 좋아하는 AI 챗봇 중 하나인 ChatGPT 때문일 수 있습니다. 나도 알아요 - 우리 중 많은 사람들이 ChatGPT를 통해 자신에 대해 알게 된 친밀하고 사적인 대화를 나눴으며 ChatGPT가 우리를 사기하는 데 도움이 될 것이라고 믿고 싶지 않습니다.

사이버 보안 회사인 SlashNext에 따르면 ChatGPT와 AI 집단은 피싱 이메일을 빠른 속도로 내보내는 데 사용되고 있습니다. 이 보고서는 회사의 위협 전문 지식을 기반으로 하며 북미 지역의 300명 이상의 사이버 보안 전문가를 대상으로 설문 조사를 실시했습니다. 즉, 악성 피싱 이메일은 2022년 4분기 이후 1,265%, 특히 자격 증명 피싱(Credential Phishing)은 967% 증가했다고 합니다. 자격 증명 피싱은 개인 정보를 사칭하여 사용자 이름, ID, 비밀번호, 개인 핀과 같은 개인 정보를 표적으로 삼습니다. 이메일이나 유사한 통신 채널을 통해 신뢰할 수 있는 사람, 그룹 또는 조직.

악의적인 행위자는 ChatGPT와 같은 생성 인공 지능 도구를 사용하여 세련되고 구체적으로 표적화된 피싱 메시지를 작성하고 있습니다. 피싱뿐만 아니라 비즈니스 이메일 손상(BEC) 메시지도 기업의 금융 사기를 목적으로 하는 또 다른 일반적인 유형의 사이버 범죄 사기입니다. 보고서는 이러한 AI 기반 위협이 엄청난 속도로 증가하고 있으며 규모와 정교함이 급속도로 증가하고 있다고 결론지었습니다.

보고서에 따르면 피싱 공격은 하루 평균 31,000건에 달하며 조사 대상 사이버 보안 전문가 중 약 절반이 BEC 공격을 받았다고 보고했습니다. 피싱과 관련하여 이들 전문가 중 77%가 피싱 공격을 받았다고 보고했습니다.

전문가들이 무게를 두고 있다

SlashNext의 CEO인 Patrick Harr는 이러한 발견이 "피싱의 기하급수적인 증가에 기여하는 생성 AI 사용에 대한 우려를 확고히 합니다"라고 말했습니다. 그는 AI 생성 기술을 통해 사이버 범죄자가 공격 속도를 높이는 동시에 공격의 다양성을 높일 수 있다고 설명했습니다. 그들은 수천 가지의 변형을 포함하는 수천 가지의 사회적 공학적 공격을 생성할 수 있으며, 여러분은 단 한 가지에만 빠지면 됩니다.

Harr는 작년 말에 엄청난 성장을 보인 ChatGPT를 지적합니다. 그는 생성 AI 봇을 통해 초보자가 피싱 및 사기 게임에 훨씬 더 쉽게 참여할 수 있게 되었으며 이제 더 숙련되고 경험이 풍부한 사람들의 무기고에 추가 도구가 되었다고 가정합니다. 이들은 이제 공격을 더 확장하고 표적화할 수 있습니다. 용이하게. 이러한 도구는 사기꾼이 사람들을 피싱하기를 바라는 보다 설득력 있고 설득력 있는 표현의 메시지를 생성하는 데 도움이 될 수 있습니다.

Enterprise Management Associates의 연구 이사인 Chris Steffen은 CNBC와의 인터뷰에서 "'나이지리아 왕자'의 시대는 지났습니다"라고 말했습니다. 그는 계속해서 이메일이 이제 "매우 설득력 있고 합법적인 것처럼 들린다"고 확장했습니다. 악의적인 행위자는 말투와 스타일 면에서 다른 사람을 설득력 있게 모방하고 사칭하거나 정부 기관이나 금융 서비스 제공업체에서 보낸 것처럼 보이는 공식적인 서신을 보내기도 합니다. 그들은 AI 도구를 사용하여 개인이나 조직의 글과 공개 정보를 분석하여 메시지를 맞춤화하고 이메일과 커뮤니케이션을 실제처럼 보이게 함으로써 이전보다 더 나은 작업을 수행할 수 있습니다.

게다가 이러한 전략이 이미 악의적인 행위자에게 수익을 가져다 주고 있다는 증거가 있습니다. Harr는 FBI의 인터넷 범죄 보고서에 따르면 BEC 공격으로 인해 기업에 약 27억 달러의 손실이 발생했으며 다른 종류의 피싱으로 인해 5,200만 달러의 손실이 발생했다고 합니다. Motherlode는 수익성이 높으며 사기꾼은 피싱 및 BEC 활동을 더욱 확대하려는 동기를 부여받습니다.

위협을 무너뜨리려면 무엇이 필요할까요?

일부 전문가와 기술 대기업은 Amazon, Google, Meta 및 Microsoft가 사이버 보안 위험에 맞서기 위해 테스트를 수행하겠다고 약속하면서 반발하고 있습니다. 기업들은 또한 AI를 방어적으로 활용하여 탐지 시스템, 필터 등을 개선하고 있습니다. Harr는 SlashNext의 연구가 사이버 범죄자들이 이미 ChatGPT와 같은 도구를 사용하여 이러한 공격을 실행하고 있기 때문에 이것이 완전히 보장된다는 점을 다시 강조했습니다.

SlashNext는 7월에 WormGPT와 함께 ChatGPT를 사용하는 특정 BEC를 발견했습니다. Harr에 따르면 WormGPT는 "BEC 공격 생성 및 실행과 같은 악의적인 활동을 위해 특별히 설계된 GPT 모델의 검은 모자 대안"으로 널리 알려진 사이버 범죄 도구입니다. 또 다른 악성 챗봇인 FraudGPT도 유포되고 있는 것으로 알려졌습니다. Harr는 FraudGPT가 사기꾼, 해커, 스패머 및 이와 유사한 개인을 위해 맞춤화된 '독점' 도구로 광고되었으며 광범위한 기능 목록을 자랑한다고 말했습니다.

SlashNext 연구의 일부는 AI 챗봇에 대해 매우 독창적으로 설계된 공격인 AI "탈옥" 개발에 관한 것이었습니다. 이 공격은 AI 챗봇의 안전 및 합법성 가드레일을 제거하게 됩니다. 이는 많은 AI 관련 연구기관에서 주요 연구 분야이기도 하다.

기업과 이용자는 어떻게 진행해야 할까요?

이것이 직업적으로나 개인적으로 심각한 위협이 될 수 있다고 생각한다면 당신 말이 맞습니다. 하지만 완전히 절망적인 것은 아닙니다. 사이버 보안 전문가들은 이러한 공격에 대응하고 대응하기 위한 방법을 강화하고 브레인스토밍하고 있습니다. 많은 회사에서 수행하는 조치 중 하나는 직원과 사용자가 실제로 이러한 이메일을 받고 있는지 확인하기 위해 지속적인 최종 사용자 교육 및 훈련입니다.

의심스럽고 표적화된 이메일의 양이 증가한다는 것은 여기저기서 상기시키는 것만으로는 더 이상 충분하지 않다는 것을 의미하며, 이제 기업은 사용자들에게 보안 인식을 제고하는 것을 매우 지속적으로 실천해야 할 것입니다. 또한 최종 사용자에게 사기로 보이는 이메일을 신고하고 보안 관련 문제에 대해 논의하도록 상기시키는 것뿐만 아니라 권장해야 합니다. 이는 기업 및 전사적 보안에만 적용되는 것이 아니라 개인 사용자인 우리에게도 적용됩니다. 거대 기술 기업이 우리의 개인 이메일 요구 사항에 대해 자사의 이메일 서비스를 신뢰하기를 원한다면 이러한 종류의 방식으로 방어 체계를 계속 구축해야 할 것입니다.

Steffen은 비즈니스와 기업의 문화 수준 변화뿐만 아니라 AI 기능을 통합하고 악성 메시지가 사용자에게 전달되는 것을 방지하는 데 도움이 되는 이메일 필터링 도구의 중요성을 다시 한번 강조합니다. 위협은 항상 진화하고 AI 소프트웨어의 능력이 향상됨에 따라 이를 활용하는 위협도 증가하기 때문에 정기적인 테스트와 감사가 필요한 끊임없는 싸움입니다.

기업은 보안 시스템을 개선해야 하며 단일 솔루션으로는 AI 생성 이메일 공격으로 인한 모든 위험을 완전히 해결할 수 없습니다. Steffen은 제로 트러스트 전략이 공격으로 인한 제어 격차를 메우고 대부분의 조직에 방어 기능을 제공하는 데 도움이 될 수 있다고 말합니다. 개인 사용자는 피싱이나 사기를 당할 가능성이 높아졌기 때문에 이에 대해 더욱 주의해야 합니다.

이러한 유형의 문제에 대해 비관론에 빠지기 쉬울 수 있지만 무엇을 클릭할지에 대해서는 더 조심할 수 있습니다. 잠시 시간을 내어 모든 정보를 확인하세요. 특정 이메일을 받은 이메일 주소를 검색하여 다른 사람이 이와 관련된 문제를 겪었는지 확인할 수도 있습니다. 온라인은 까다로운 거울 세계이며, 자신에 대해 지혜를 갖는 것이 점점 더 가치가 있습니다.