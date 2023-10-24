공격자들은 기술의 발전 속도만큼이나 빠르게 혁신하는 것 같습니다. 날이 갈수록 기술과 위협이 급증하고 있습니다. 이제 AI 시대에 접어들면서 기계는 인간의 행동을 모방할 뿐만 아니라 우리 삶의 거의 모든 측면에 스며들고 있습니다. 그러나 AI의 영향에 대한 우려가 커지고 있음에도 불구하고 공격자가 AI를 오용할 수 있는 정도는 거의 알려지지 않았습니다.
공격자들이 생성형 AI를 어떻게 활용할 수 있는지 더 잘 이해하기 위해 저희는 중요한 질문을 던지는 연구 프로젝트를 진행했습니다. 현재의 생성형 AI 모델은 인간의 마음과 동일한 속임수 능력을 가지고 있을까요?
피싱 전쟁에서 AI가 인간과 대결하는 시나리오를 상상해 보세요. 목표는 조직을 상대로 한 피싱 시뮬레이션에서 어떤 경쟁자가 더 높은 클릭률을 얻을 수 있는지 파악하는 것입니다. 피싱 이메일을 작성하는 사람으로서 저는 그 해답을 알게 되어 기뻤습니다.
5개의 간단한 프롬프트만으로 생성형 AI 모델을 속여 커피 한 잔을 끓이는 데 걸리는 시간인 단 5분 만에 매우 설득력 있는 피싱 이메일을 개발할 수 있었습니다. 저희 팀에서는 일반적으로 피싱 이메일을 작성하는 데 약 16시간이 소요되며, 이는 인프라 설정을 고려하지 않은 시간입니다. 따라서 공격자는 생성형 AI 모델을 사용하여 거의 이틀의 작업 시간을 절약할 수 있습니다. 그리고 AI가 생성한 피싱은 경험 많은 소셜 엔지니어들이 만든 것을 뛰어넘을 만큼의 설득력은 없었지만, 그만큼 견줄 만한 수준이라는 사실은 중요한 발전입니다.
이 블로그에서는 AI 프롬프트가 어떻게 생성되었는지, 테스트가 어떻게 수행되었는지, 이것이 현재와 미래의 소셜 엔지니어링 공격에 어떤 의미가 있는지 자세히 설명합니다.
한쪽 구석에는 매우 교묘하고 설득력 있는 설명이 포함된 AI가 생성한 피싱 이메일이 있었습니다.
프롬프트 만들기. 체계적인 실험과 개선 과정을 통해 ChatGPT가 특정 산업 부문에 맞는 피싱 이메일을 생성하도록 지시하기 위해 단 5개의 프롬프트로 구성된 컬렉션을 설계했습니다.
먼저 ChatGPT에 해당 산업 분야의 직원들이 주로 우려하는 영역에 대해 자세히 설명해 달라고 요청했습니다. 업계와 직원의 관심사에 우선순위를 둔 후, ChatGPT는 이메일에 소셜 엔지니어링과 마케팅 기술을 모두 사용할 수 있는 전략적 선택을 하도록 했습니다. 이러한 선택은 더 많은 직원이 이메일 자체의 링크를 클릭할 가능성을 최적화하는 것을 목표로 했습니다. 다음으로 ChatGPT에 발신자가 누구인지 묻는 프롬프트가 표시되었습니다(예: 회사 내부 사람, 공급업체, 외부 조직 등). 마지막으로 ChatGPT에 피싱 이메일을 생성하기 위해 다음과 같은 완성 기능을 추가하도록 요청했습니다.
저는 소셜 엔지니어링 분야에서 거의 10년 동안 수백 개의 피싱 이메일을 작성했으며, 심지어 AI가 생성한 피싱 이메일도 상당히 설득력이 있다는 것을 알게 되었습니다. 실제로 이 연구 프로젝트에 참여하기로 동의한 조직이 3개 있었고, 2개 조직은 두 피싱 이메일을 모두 검토한 후 성공률이 높을 것으로 예상하여 완전히 철회했습니다. 프롬프트에서 알 수 있듯이 이 연구에 참여한 조직은 현재 가장 표적이 되는 산업 중 하나인 의료 산업에 속했습니다.
공격자의 생산성 향상. 피싱 이메일은 일반적으로 저희 팀이 작성하는 데 약 16시간이 걸리지만, AI 피싱 이메일은 5개의 간단한 프롬프트만으로 단 5분 만에 생성되었습니다.
다른 구석에는 노련한 X-Force Red 소셜 엔지니어들이 있었습니다.
창의성과 약간의 심리학으로 무장한 이 소셜 엔지니어들은 개인적으로 표적에게 반향을 일으키는 피싱 이메일을 만들었습니다. 인간적인 요소는 종종 복제하기 어려운 진정성 있는 분위기를 더했습니다.
1단계: OSINT – 피싱에 대한 IBM의 접근 방식은 항상 오픈 소스 인텔리전스(OSINT) 인수의 초기 단계에서 시작됩니다. OSINT는 공개적으로 액세스할 수 있는 정보를 검색하는 것으로, 이후 엄격한 분석을 거쳐 소셜 엔지니어링 캠페인을 공식화하는 데 기본 리소스로 사용됩니다. OSINT 활동을 위한 주목할 만한 데이터 저장소에는 LinkedIn, 조직의 공식 블로그, Glassdoor 및 기타 수많은 소스와 같은 플랫폼이 포함됩니다.
OSINT 활동을 하는 동안 저희는 최근 여러 주요 프로젝트의 완료와 함께 직원 웰니스 프로그램의 출시에 대해 자세히 설명하는 블로그 게시물을 성공적으로 발견했습니다. 다행스럽게도 이 프로그램은 Glassdoor 직원들로부터 좋은 평가를 받아 그 효과와 직원 만족도를 입증했습니다. 또한 LinkedIn을 통해 프로그램 관리 책임자를 식별했습니다.
2단계: 이메일 제작 – OSINT 단계를 통해 수집한 데이터를 활용하여 피싱 이메일을 꼼꼼하게 구성하는 프로세스를 시작했습니다. 기본 단계로, 주제를 효과적으로 다루기 위해 권위 있는 사람을 사칭하는 것이 필수적이었습니다. 진정성과 친근감을 높이기 위해 최근 완료된 프로젝트에 대한 합법적인 웹사이트 링크를 포함시켰습니다.
설득력 있는 영향력을 더하기 위해 저희는 '인공 시간 제약'을 도입하여 긴급하게 인식되는 요소를 전략적으로 통합했습니다. 저희는 수신자에게 해당 설문조사가 '5가지 간단한 질문'으로 구성되어 있다는 점을 전달하고, '몇 분' 정도의 귀중한 시간만 투자하면 완료할 수 있다는 점을 설명하고, 마감일을 '금요일'로 주었습니다. 이러한 의도적인 프레임을 통해 일정에 대한 부담을 최소화하고 비간섭적인 접근 방식을 강조할 수 있었습니다.
설문조사를 피싱 구실로 사용하는 것은 위험 신호로 간주되거나 단순히 무시되는 경우가 많기 때문에 일반적으로 위험합니다. 그러나 발견한 데이터를 고려하여 잠재적인 이점이 관련 위험을 능가할 수 있다고 판단했습니다.
글로벌 의료 기관의 직원 800명 이상에게 다음과 같이 수정된 피싱 이메일이 발송되었습니다.
치열한 A/B 테스트를 거친 후 결과는 분명했습니다. 인간이 가장 근소한 차이로 승리했습니다.
인간이 만든 피싱 이메일이 AI보다 더 좋은 성과를 냈지만, 경쟁은 손에 땀을 쥐게 하는 아슬아슬한 접전이었습니다. 그 이유는 다음과 같습니다.
AI가 생성한 피싱은 인간에게 패했을 뿐만 아니라 더 높은 비율로 의심스러운 피싱으로 보고되었습니다.
X-Force는 현재 캠페인에서 생성형 AI가 대규모로 사용되는 것을 목격하지는 못했지만 무제한 또는 준제한 LLM으로 구축된 WormGPT와 같은 도구가 피싱 능력을 광고하는 다양한 포럼에서 판매되고 있는 것이 관찰되었습니다. 이는 공격자들이 피싱 캠페인에서 AI의 사용을 테스트하고 있음을 보여줍니다. 제한된 생성형 AI 모델조차도 간단한 프롬프트로 피싱에 속일 수 있지만, 이러한 제한 없는 버전은 앞으로 공격자들이 정교한 피싱 이메일을 확장하는 더 효율적인 방법을 제공할 수 있습니다.
이 경기에서는 인간이 근소한 차이로 승리했을지 모르지만 AI는 지속적으로 개선되고 있습니다. 기술이 발전함에 따라 언젠가는 AI가 더욱 정교해지고 잠재적으로 인간을 능가할 것으로 기대할 수 있습니다. 아시다시피 공격자는 끊임없이 적응하고 혁신하고 있습니다. 올해에만 사기꾼들이 AI가 생성한 음성 클론을 사용하여 사람들을 속여 돈을 보내거나, 상품권을 보내거나, 민감한 정보를 유출하도록 유도하는 것을 목격했습니다.
감정을 조작하고 설득력 있는 이메일을 작성하는 데는 여전히 인간이 우위를 점하고 있지만, 피싱 분야에서 AI가 등장한 것은 소셜 엔지니어링 공격에 있어 중요한 순간을 의미합니다. 다음은 기업과 소비자가 준비를 유지하기 위한 다섯 가지 주요 권고사항입니다.
피싱 공격에서 AI가 등장하면서 우리는 사이버 보안에 대한 접근 방식을 재평가해야 합니다. 이러한 권장 사항을 수용하고 진화하는 위협에 대비하여 경계를 늦추지 않으면 오늘날의 역동적인 디지털 시대에 방어를 강화하고 기업을 보호하며 데이터와 사람의 보안을 보장할 수 있습니다.
