AIㆍML / 보안 / 애플리케이션

“도난당한 챗GPT 유료 계정, 다크웹 판매 증가” 체크포인트

Apurva Venkat | CSO 2023.04.17
체크 포인트(Check Point)의 연구(New ChatGPT4.0 Concerns: A Market for Stolen Premium Accounts)에 따르면 3월 이후 다크웹에서 도난당한 챗GPT 계정, 특히 유료 계정의 자격증명 거래가 증가했다. 이를 통해 사이버 범죄자들은 오픈AI의 지역 제한(geofencing)을 우회하고, 챗GPT에 무제한 액세스하고 있다고 연구진은 덧붙였다. 

체크 포인트 리서치(CRP; Check Point Research)는 “지난 한 달 동안 지하 포럼에서, 해킹된 챗GPT 유료 계정 판매와 관련된 게시물의 수가 증가했다”라며, “대부분 도난당한 계정이 판매되고 있지만, 몇몇 범죄자는 자신의 해킹 서비스 및 도구를 광고하기 위해 도난당한 챗GPT 유료 계정을 무료로 공유하기도 했다”라고 전했다. 
 
ⓒGetty Images Bank
 

챗GPT를 둘러싼 범죄 

연구진은 “최근 다크웹에서 관찰된 챗GPT 관련 활동으로는 챗GPT 계정 자격증명 유출 및 무료 공개, 도난당한 챗GPT 유료 계정 거래 등이 있었다”라고 언급했다. 
 
도난당한 챗GPT 계정에 관한 지하 포럼의 스레드 ⓒCheck Point

또한 사이버 범죄자들은 챗GPT용 무차별 암호 대입 및 체커 도구를 거래하고 있었다고 연구진은 밝혔다. 이런 도구를 사용하면 방대한 이메일 주소와 비밀번호 목록으로 계정 액세스를 위한 조합을 추측해 챗GPT 계정을 해킹할 수 있다는 설명이다. 도난당한 결제 카드를 사용해 챗GPT 유료 계정을 개설할 수 있는 서비스도 제공되고 있다고 체크포인트는 말했다. 

아울러 연구진은 자동화된 방식으로 오픈AI 플랫폼의 자격증명 집합을 확인할 수 있는 구성 파일(SilverBullet)도 제공되고 있다고 전했다. 실버불렛은 사용자가 타깃 웹 애플리케이션에서 요청을 수행할 수 있는 웹 테스트 제품군이다. 사이버 범죄자가 다른 웹사이트에 크리덴셜 스터핑 및 계정 확인 공격을 수행해 온라인 플랫폼 계정을 훔치는 데도 동일하게 사용된다. 

체크포인트는 이를 통해 챗GPT에서 계정을 대규모로 탈취할 수 있다고 지적했다. 이 프로세스는 완전히 자동화돼 있으며, 분당 50~200건을 확인할 수 있다. 또 프록시 구현을 지원해 대부분의 경우 이런 공격에 대한 웹사이트의 여러 보호 기능을 우회할 수 있다고 설명했다. 이어 “챗GPT 제품 타깃의 악용과 사기에 주력하는 한 사이버 범죄자는 자신을 ‘gpt4’라고 칭했다. 해당 범죄자는 스레드에서 챗GPT 계정뿐만 아니라 자격증명의 유효성을 검사하는 다른 자동화된 도구 구성도 판매하고 있었다”라고 덧붙였다. 

이 밖에 연구진은 영어를 사용하는 한 사이버 범죄자가 지난 3월 20일 “100% 만족을 보장”하는 챗GPT 플러스 평생 계정 서비스를 광고하기 시작했다고 언급했다. 구매자의 이메일 계정으로 개설되는 챗GPT 플러스 계정의 평생 업그레이드 비용은 59.99달러다. 오픈AI의 서비스의 합법적인 가격은 월 20달러다. “비용을 더 줄이고 싶다면 24.99달러에 다른 사이버 범죄자와 챗GPT 계정 액세스 권한을 공유하는 옵션도 제공된다”라고 덧붙였다. 
 
챗GPT 플러스 평생 계정 서비스 광고 ⓒCheck Point
 

도난당한 챗GPT 계정 자격증명으로 무엇을 할 수 있을까?

도난당한 챗GTP 유료 계정 자격증명의 수요가 높은 이유는 다음과 같다. 사이버 범죄자가 지역 제한을 우회할 수 있어서다. 이란, 러시아, 중국 등 특정 지역에서는 챗GPT 서비스 사용이 제한된다. 물론 사이버 범죄자는 챗GPT API를 사용해 제한을 우회하고, 프리미엄 계정도 활용할 수 있다고 체크포인트는 덧붙였다. 

또 다른 잠재적 용도는 개인정보 확보다. 챗GPT 계정은 계정 소유자의 최근 쿼리를 저장하기 때문이다. “따라서 사이버 범죄자가 계정을 훔치면 원래 계정 소유자의 쿼리에 액세스할 수 있다. 여기에는 개인정보, 기업 제품 및 프로세스에 관한 세부 정보 등이 포함될 수 있다”라고 연구진은 설명했다. 

지난 3월 오픈AI는 레디스(Redis) 클라이언트 오픈소스 라이브러리 버그로 챗GPT 중단 및 데이터 유출이 발생해 사용자가 다른 사용자의 개인정보와 채팅 쿼리를 볼 수 있었다고 밝혔다. 챗GPT 플러스 가입자 중 약 1.2%의 이름, 이메일 주소, 결제 주소, 일부 신용카드 정보 등 개인정보 및 채팅 쿼리가 노출됐다고 오픈AI는 인정했다. 
 

챗GPT의 개인정보보호 문제

지난 몇 달 동안 챗GPT와 관련해 다양한 개인정보보호 및 보안 문제가 제기됐다. 이탈리아의 데이터 프라이버시 규제 기관은 이미 챗봇의 개인 데이터 수집 및 저장과 관련된 개인정보 침해 혐의로 챗GPT 사용을 금지했다. 당국은 오픈AI가 4월 30일까지 일련의 데이터 보호 요건을 충족하면 일시적인 챗GPT 금지를 해제할 계획이라고 전했다. 이 밖에 독일 데이터 보호 위원회는 데이터 보안 문제로 인해 챗GPT가 독일에서 차단될 수 있다고 경고했다. 

→ 이탈리아, 챗GPT 차단…GDPR 위반 여부 조사

한편 이번 주 초 오픈AI는 자사의 생성형 AI 시스템을 대상으로 한 버그 바운티 프로그램을 시작한다고 밝혔다. 오픈AI는 심각도에 따라 최소 200달러부터 최대 2만 달러까지 포상금을 지급할 예정이다. 

→ “보상금 최대 2만 달러” 오픈AI, 챗GPT 오류 잡는 버그 바운티 시작
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.