[디지털투데이 황치규 기자]구글 연구원들이 최근 AI 기반 악성코드를 사용하는 해킹 사례를 확인했다. 악의적인 해커들이 공격 역량 강화를 위해 생성형AI를 실전에 투입하는 시나리오가 현실화되고 있음을 보여주는 사례여서 주목된다.

악시오스 최근 보도에 따르면 구글 위협 인텔리전스 그룹 연구원들은 거대 언어 모델(LLM)을사용해 공격 도중에 행동을 바꾸는 신종 악성코드 변종들인 프롬프트플럭스(PromptFlux)와 프롬프트스틸(PromptSteal)을 발견했다.

두 악성코드 변종들은 역동적으로 악의적인 스크립트를 생성하는 것은 물론 탐지를 피하기 위해 코드를 모호하게 하는 역량도 갖추고 있다. 또 AI 모델을 활용애 악의적인 기능들을 온디맨드로 생성할 수 있다.

구글 팀은 유명 악성코드 검사 도구인 바이러스 포털(VirusTotal)에 업로드된 파일을 스캔하던 중, 구글 LLM인 제미나이로 연결 신호를 보내는 코드를 발견했고 여기에서 프롬프트플럭스를 찾아냈다고 악시오스는 전했다.

프롬프트플럭스는 현재 활발하게 개발이 진행 중인 것으로 보인다. 구글 연구원들은 바이러스토털에 업데이트 버전을 업로드한 제작자는 프롬프트플럭스가 어떻게 탐지를 피하는지 테스트하기 위한 것으로 보인다.

프롬프트플럭스는 제미나이를 사용해 자체 코스코드를 다시 작성해 행동을 감추고 연결돼 있는 다른 시스템들로 확장을 시도한다.

프롬프트스틸의 경우 러시아 군 해커들이 우크라이나 조직들을 겨냥한 사이버 공격에 사용한 것으로 파악되고 있다. 우크라이나 정부는 7월 프롬프트스틸을 처음으로 발견했다.

전통적인 악성코드와 달리 프롬프트스틸은 해커들이 프롬프트를 사용해 상호 작용할 수 있게 해주는게 특징이다. 허킹페이스에서 제공되는 오픈소스 모델 기반으로 개발됐고 시스템 여기저기를 돌아다니며 데이터를 외부로 전송하도록 디자인됐다.

대부분의 공격자들은 피해를 주기 위해 AI를 필요로 하지 않으며 여전히 피싱 이메일이나 도난된 인증 정보 같은 일반적인 전술에 의존하고 있다.

하지만 프롬프트플럭스와 프롬프트 스틸 모두 초기 단계지만  많은 보안 관계자들이 우려해 온 미래를 향한 중대한 진전을 의미한다. 지난 1년간 AI 툴들에 대한 지하 사이버 범죄 시장이 상당히 성숙해졌다고 악시오스가 구글 보고서를 인용해 전했다.
 

• 흐릿한 사진도 선명하게…AI 기반 이미지 복원 SW 주목
• AI, 검색엔진을 바꾸다…광고·데이터·전력까지 변화 예고
• AI와 스톡이미지의 미래는? 프리픽 CEO, "완전한 대체는 불가능"
• AI가 쏘아올린 에너지 전쟁…美, 전력난에 발목 잡히나
• AI가 수영 코치를 대신한다…폼, 헤드코치 2.0 공개