“AI 발전 속도에 맞춰, 보안도 따라가야”

고려대 정보보호대학원 인공지능 연구실 이상근 교수는 17일 서울 삼성동 코엑스에서 열린 ‘정보통신망 정보보호 컨퍼런스(NetSec-KR)’에서 이같이 강조했다.

‘LLM 애플리케이션의 보안 이슈와 대응 방안’이라는 주제로 강연을 펼친 이 교수는 이날 빠르게 발전하고 있는 AI가 사용자의 편리함을 높여주지만, 사용자 모르게 할 수 있는 일이 많아져 보안에 위협이 된다고 설명했다. 이 교수는 이미 사람들이 범용적으로 쓰고 있는 챗지피티(ChatGPT)와 같은 LLM이 갖고 있는 취약점이 많다고 짚었다.

이 교수는 인공일반지능(AGI)의 시대가 다가왔고 추론 기능이 강화된 LLM이 어떻게 위협이 될지 먼저 설명했다.

AGI는 인간에 가까운 AI로 정의 내릴 수 있다. 인간처럼 추론, 이해와 학습 능력을 갖추고 의사결정을 할 수 있는 인공지능을 의미한다. 그리고 추론 기능이 강화된 LLM은 단순한 답이 아니라 추론하는 사고의 과정을 거친 답변을 제공한다. 이런 인공지능은 사용자가 요청하지 않고도 작업을 수행하는 AI 에이전트로 발전해 왔다.

사용자의 요청 없이도 작업을 수행할 수 있다는 것은 AI가 가진 권한이 많아졌다는 의미이기도 하다. 사용자의 패턴을 수집하고, 개인정보를 수집하고, 사용자가 모르게 작업을 수행할 수 있다. 이러한 행위는 보안에 큰 위협이 된다는 게 이 교수의 입장이다.

이 교수는 중국 딥시크에 대해서 언급하면서, 중국 정부나 개발자들이 사용자 모르게 트리거(특정 동작에 필요한 동작을 수행)를 숨겨 놓고, 발동되면 백도어에서 많은 일들이 이뤄질 수 있다고 경고했다. ‘AI 백도어’의 위협은 비밀리에 진행된다는 점에서 생각해 볼거리가 많다고 이 교수는 언급했다.

챗지피티와 같은 챗봇은 사용자가 스스로 정보를 제공하기도 하고, 웹에서 자체적으로 데이터를 수집하기도 한다. 이 과정에서 이름, 전화번호, SNS 대화 등 다양한 개인정보도 노출될 위험이 있다. 무분별하게 수집되는 이 정보는 사용자가 악의를 품는다면, 탈취할 수도 있는 부분이다. 일명 ‘탈옥 공격’이다.

탈옥 공격은 특정 질문에는 답변을 거부하도록 설계한 LLM의 안전장치를 우회해 답변을 얻어내는 것을 말한다. 해킹 코드나 폭발물 제조법 등에 대한 답변을 얻어내면 굉장히 위험할 수 있다고 이 교수는 설명했다. 이 교수는 실제로 매일 탈옥 시도를 여러 챗봇에 해보는데, 딥시크의 경우는 모두 뚫린 적이 있다고 언급하기도 했다. 그러면서 탈옥 공격에 대한 방어가 아직 미흡하고 현재로선 막을 방법이 많지 않다고 덧붙였다.

이 외에도 LLM이 답변을 얻기 위해 외부 데이터를 끌어오는 과정에서 악성코드가 숨겨져 있다거나, 오픈소스로 공개된 AI 모델을 복제해 정보를 대규모로 추출하는 등 보안에 위협이 되는 취약점에 관해 설명을 이어 나갔다.

이 교수는 강연을 마무리하면서 “LLM 시장은 2024년 56억달러(한화 약 7조원)에서 2030년 870억달러(한화 약 123조원)로 성장할 것으로 기대돼 시장 규모가 급속도로 커지고 있다”며, “의료나 금융 등 다양한 범위에서 대규모 피해가 발생할 우려가 있으며, 이제는 보안을 중심으로 하는 논의가 시급하다”고 강조했다.

글. 바이라인네트워크
<최가람 기자>ggchoi@byline.network