해커들이 사이버 공격과 사기를 저지르기 위해 AI를 "무기화"하는 추세에 대해 어떻게 생각하시나요?

Nguyen Tuan Khang 박사: IBM의 2024 X-Force 위협 인텔리전스 지수에 따르면, 베트남을 포함한 아시아 태평양 지역은 2023년에 전 세계에서 가장 많은 사이버 공격을 받는 지역입니다. 그 중에서도 제조업은 사이버 공격을 가장 많이 받는 산업입니다.

악의적인 공격자들의 주요 수법은 여전히 ​​취약한 사람들을 대상으로 피싱 공격을 감행하고 취약점을 악용하여 악성코드를 설치하는 것입니다. 또한, 2024년에는 인공지능(AI)을 활용한 사이버 공격이 새로운 트렌드로 떠오르고 있습니다.

Wired의 보도에 따르면, 많은 악의적인 사람들이 생성적 AI를 사용해 해킹을 유도하고, 사기성 챗봇을 만들거나, Deepfake를 사용해 다른 사람의 얼굴과 목소리로 된 가짜 이미지와 비디오를 만들고 있다고 합니다.

하지만 이러한 추세와 함께 정보 보안 시스템에도 왓슨엑스(WatsonX)와 같은 AI 기능이 통합되기 시작했습니다. 인공지능은 활용될 수 있을 뿐만 아니라, 분석, 모니터링, 수치 식별, 공격 시나리오 예측 등에서 인간을 대체하여 방어 역량을 강화하고 정보 보안 위험을 최소화할 수도 있습니다.

W-nguyen-tuan-khang-ibm-1.jpg
사이버 보안 전문가 Nguyen Tuan Khang. 사진: 쫑닷(Trong Dat)

딥페이크 사기가 점점 더 흔해지고 있습니다. AI의 급속한 발전으로 인해 이러한 공격은 미래에 얼마나 위험해질까요?

응우옌 투안 캉 박사: 기본적으로 딥페이크는 해커가 가짜 디지털 신원을 만들어 다른 사람을 사칭하는 데 도움이 되는 기술입니다. 딥페이크는 이 기술이 점점 더 정교해지고 있기 때문에 위험한 문제가 될 것입니다.

딥페이크에 대응하기 위해 가장 먼저 해야 할 일은 사람의 이미지나 음성이 AI에 의해 생성되었는지 확인하는 것입니다. 공격자들이 끊임없이 새로운 모델을 개발하고 있기 때문에 현재 딥페이크를 즉시 감지할 수 있는 보편적인 도구는 없습니다.

딥페이크 탐지 외에도 이를 해결하는 또 다른 기술이 있는데, 바로 기술을 사용하여 행동을 분석하는 것입니다. 조직 및 비즈니스 관점에서 볼 때, 이 두 기술을 결합한 시스템 개발이 필수적입니다.

최근 해커들이 회사 시스템에 은밀하게 악성 코드를 심는 사이버 공격이 발생하고 있습니다. 이 악성 코드는 잠복하여 모든 활동을 분석하고, 악의적인 의도를 가진 가짜 신원을 만들어냅니다. 딥페이크 기술과 AI가 직접 제작하는 영상 제작 기술이 결합됨에 따라, 이러한 유형의 공격은 앞으로 훨씬 더 위험해질 것입니다.

딥페이크 사이버 공격이 확대됨에 따라, 노인, 어린이 및 기타 취약 계층을 사기꾼으로부터 어떻게 보호할 수 있을까요?

응우옌 투안 캉 박사: 노인과 어린이는 사회 공학이라는 기법을 사용하는 사기꾼의 공격을 자주 받습니다. 이는 인간의 행동을 조작하여 공격을 가하는 것을 뜻하는 용어입니다.

해커들은 이제 AI를 데이터 수집, 마이닝, 분석과 결합하여 사기 피해를 입을 가능성이 높은 사람들을 식별하고 공격 방법을 찾아낼 수 있습니다. 커뮤니티의 인식을 높이는 것 외에도, 사용자들이 사기를 당하는 상황이 발생할 수 있다는 사실을 받아들여야 하며, 이를 탐지하고 예방하기 위한 기술을 활용해야 합니다.

W-온라인-사기-1.jpg
탄르엉 경찰서( 하노이 )가 경찰관을 사칭하여 송금 사기를 저지른 사례에 대한 경고. 사진: 쫑닷

최근 한 은행 직원이 송금을 하러 온 할머니에게 사기 징후가 있다고 의심하여 ​​즉시 거래를 중단하고 당국에 신고한 사건이 있었습니다. 이제 은행의 IT 시스템은 이러한 작업을 사람이 대신할 수 있는 기술을 갖추고 있습니다.

기술의 역할은 발신자가 실제 사람인 것으로 알려져 있더라도, 다른 누군가가 조작하고 있다고 의심되는 경우 시스템이 이러한 행위를 방지하는 것입니다. 이러한 도구를 사기 및 위조 방지 시스템이라고 합니다.

베트남이 AI를 관리하고, AI 연구, 개발, 활용을 체계화하기 위한 제재를 가할 때가 아닐까요?

응우옌 투안 캉 박사: AI 관리에 대한 제재는 오랫동안 논의되어 왔지만, 여전히 많은 논란이 있습니다. 예를 들어, 제가 사는 지역 주차장에는 차량 번호판을 인식하는 AI 시스템이 설치되어 있지만, 여전히 도난 사고가 발생했습니다. 당시 누구의 잘못인지에 대한 논란이 불거졌습니다. 아파트 소유주, 경비원, 아니면 AI 시스템을 개발한 부서 중 누가 책임을 져야 할까요?

그 이후 건물 측은 규정을 변경하여 주민들이 편의를 위해 AI를 이용해 차량 번호판을 인식하도록 선택할 수 있도록 했지만, 그에 따른 위험을 감수해야 한다고 명시했습니다. 동의하는 사람들은 자동문을 사용할 수 있지만, 동의하지 않는 사람들은 예전처럼 주차해야 합니다. 우리에게도 그런 제재가 필요합니다.

마찬가지로 IBM은 암 예방에 도움이 되는 AI 시스템을 개발한 적이 있습니다. 시스템이 약을 처방했지만 복용 후에도 환자가 생명을 구할 수 없다면, 그것은 의사의 잘못일까요, 아니면 AI의 잘못일까요?

AI 규제는 구체적이어야 하며, AI 애플리케이션을 개발할 때 무엇을 할 수 있고 무엇을 할 수 없는지 명확하게 명시해야 한다고 생각합니다. 세상을 더 안전하게 만들기 위해 우리가 할 수 있는 가장 기본적인 규제는 거액의 자금 이체에 생체 인증을 요구하는 것입니다. 이러한 상황에서 신원 정보를 분실하더라도 금전적 손실을 완전히 피할 수 있습니다.

감사합니다.

2024년에는 딥페이크 사기, 가짜 얼굴, 음성이 증가할 전망 VSEC의 예측에 따르면, 얼굴과 음성을 가짜로 만드는 딥페이크 사기를 비롯해 AI를 이용한 사이버 공격이 2024년에 증가할 것으로 전망됩니다.