“제미나이3도 5분 만에 뚫리는 세상입니다. AI가 생산성을 높이지만 동시에 해커들에게 새로운 공격 지점을 열어주고 있어요.”
1일 서울 삼성동 코엑스에서 열린 ‘제1회 AI 해킹방어대회(ACDC)’ 현장에서 한 보안 전문가는 이렇게 말했다. 제미나이3가 모의 해킹으로 뚫린 건 그의 말대로 사실이다. 국내 인공지능(AI) 보안 기업 에임인텔리전스가 구글의 최신 AI 모델 ‘제미나이3 프로’를 대상으로 탈옥(안전장치 우회) 공격을 수행한 결과 단 5분 만에 모델의 필터링 기능을 완전히 무력화하는 데 성공한 것으로 알려졌다. 구글이 제미나이를 출시한 지 불과 2주 만에 드러난 취약점이다.
국내 최대 가상자산거래소 업비트 해킹, 국내 최대 온라인커머스 기업 쿠팡 해킹이 연달아 일어난 가운데 과학기술정보통신부가 AI 해킹방어대회를 개최했다. 미국 국방고등연구계획국(DARPA)에서 매년 개최하는 ‘AIxCC(AIx사이버 챌린지)’의 한국판 행사다. 대회에는 공공기관, 대기업, 세계 해킹대회 수상 보안기업, 정보보호 특화 대학 등 총 187개 팀에서 748명이 참가했다.
이날 행사에서 전문가들은 AI 시대 해킹 등 보안 사고의 파급력이 예전보다 훨씬 커질 수 있다고 경고했다. AI가 산업 전반에서 빠르게 확산하면서 해커가 노릴 수 있는 공격 포인트가 기하급수적으로 늘어난다는 것이다. 올해 DARPA 주관 AIxCC에서 우승한 윤인수 KAIST 전기 및 전자공학부 교수는 “AI는 인간이 상상할 수 있는 거의 모든 공격 패턴을 학습할 수 있다”며 “머지않아 인간 해커를 능가하는 AI 해커가 등장할 가능성이 크다”고 말했다. 박찬암 스틸리언 대표는 “AI는 해커 입장에서 시간을 극적으로 줄여주는 기술”이라고 설명했다.
AI 보급으로 해킹 경로가 확장되고 있지만 이를 막아낼 인프라 자체가 부족하다는 지적도 나왔다. 예컨대 로그인에 두 번 성공하는 것 자체는 정상이지만 30초 안에 서로 다른 국가에서 재로그인하는 것은 비정상이다. 단일 상황만 봐서는 판단하기 어렵고 시간과 상태, 순서 등을 복합적으로 빠르게 판단할 수 있는 정보기술(IT) 시스템이 필요하다는 것이다. 이종호 비바리퍼블리카(토스) 보안기술팀 리더는 “서비스 복잡성이 ‘폭발’하면서 보안 전문가 입장에서는 이걸 추적하는 난도가 많이 올라갔다”고 설명했다.
배경훈 부총리 겸 과기정통부 장관은 “AI 강국을 외치며 해킹 대응을 소홀히 하면 ‘사상누각’”이라며 “화이트해커 양성 생태계 조성을 정부가 지원하겠다”고 밝혔다.
이영애 기자 0ae@hankyung.com
1일 서울 삼성동 코엑스에서 열린 ‘제1회 AI 해킹방어대회(ACDC)’ 현장에서 한 보안 전문가는 이렇게 말했다. 제미나이3가 모의 해킹으로 뚫린 건 그의 말대로 사실이다. 국내 인공지능(AI) 보안 기업 에임인텔리전스가 구글의 최신 AI 모델 ‘제미나이3 프로’를 대상으로 탈옥(안전장치 우회) 공격을 수행한 결과 단 5분 만에 모델의 필터링 기능을 완전히 무력화하는 데 성공한 것으로 알려졌다. 구글이 제미나이를 출시한 지 불과 2주 만에 드러난 취약점이다.
국내 최대 가상자산거래소 업비트 해킹, 국내 최대 온라인커머스 기업 쿠팡 해킹이 연달아 일어난 가운데 과학기술정보통신부가 AI 해킹방어대회를 개최했다. 미국 국방고등연구계획국(DARPA)에서 매년 개최하는 ‘AIxCC(AIx사이버 챌린지)’의 한국판 행사다. 대회에는 공공기관, 대기업, 세계 해킹대회 수상 보안기업, 정보보호 특화 대학 등 총 187개 팀에서 748명이 참가했다.
이날 행사에서 전문가들은 AI 시대 해킹 등 보안 사고의 파급력이 예전보다 훨씬 커질 수 있다고 경고했다. AI가 산업 전반에서 빠르게 확산하면서 해커가 노릴 수 있는 공격 포인트가 기하급수적으로 늘어난다는 것이다. 올해 DARPA 주관 AIxCC에서 우승한 윤인수 KAIST 전기 및 전자공학부 교수는 “AI는 인간이 상상할 수 있는 거의 모든 공격 패턴을 학습할 수 있다”며 “머지않아 인간 해커를 능가하는 AI 해커가 등장할 가능성이 크다”고 말했다. 박찬암 스틸리언 대표는 “AI는 해커 입장에서 시간을 극적으로 줄여주는 기술”이라고 설명했다.
AI 보급으로 해킹 경로가 확장되고 있지만 이를 막아낼 인프라 자체가 부족하다는 지적도 나왔다. 예컨대 로그인에 두 번 성공하는 것 자체는 정상이지만 30초 안에 서로 다른 국가에서 재로그인하는 것은 비정상이다. 단일 상황만 봐서는 판단하기 어렵고 시간과 상태, 순서 등을 복합적으로 빠르게 판단할 수 있는 정보기술(IT) 시스템이 필요하다는 것이다. 이종호 비바리퍼블리카(토스) 보안기술팀 리더는 “서비스 복잡성이 ‘폭발’하면서 보안 전문가 입장에서는 이걸 추적하는 난도가 많이 올라갔다”고 설명했다.
배경훈 부총리 겸 과기정통부 장관은 “AI 강국을 외치며 해킹 대응을 소홀히 하면 ‘사상누각’”이라며 “화이트해커 양성 생태계 조성을 정부가 지원하겠다”고 밝혔다.
이영애 기자 0ae@hankyung.com
관련뉴스
