체크 포인트 리서치(CRP; Check Point Research)는 “지난 한 달 동안 지하 포럼에서, 해킹된 챗GPT 유료 계정 판매와 관련된 게시물의 수가 증가했다”라며, “대부분 도난당한 계정이 판매되고 있지만, 몇몇 범죄자는 자신의 해킹 서비스 및 도구를 광고하기 위해 도난당한 챗GPT 유료 계정을 무료로 공유하기도 했다”라고 전했다.
챗GPT를 둘러싼 범죄
연구진은 “최근 다크웹에서 관찰된 챗GPT 관련 활동으로는 챗GPT 계정 자격증명 유출 및 무료 공개, 도난당한 챗GPT 유료 계정 거래 등이 있었다”라고 언급했다.또한 사이버 범죄자들은 챗GPT용 무차별 암호 대입 및 체커 도구를 거래하고 있었다고 연구진은 밝혔다. 이런 도구를 사용하면 방대한 이메일 주소와 비밀번호 목록으로 계정 액세스를 위한 조합을 추측해 챗GPT 계정을 해킹할 수 있다는 설명이다. 도난당한 결제 카드를 사용해 챗GPT 유료 계정을 개설할 수 있는 서비스도 제공되고 있다고 체크포인트는 말했다.
아울러 연구진은 자동화된 방식으로 오픈AI 플랫폼의 자격증명 집합을 확인할 수 있는 구성 파일(SilverBullet)도 제공되고 있다고 전했다. 실버불렛은 사용자가 타깃 웹 애플리케이션에서 요청을 수행할 수 있는 웹 테스트 제품군이다. 사이버 범죄자가 다른 웹사이트에 크리덴셜 스터핑 및 계정 확인 공격을 수행해 온라인 플랫폼 계정을 훔치는 데도 동일하게 사용된다.
체크포인트는 이를 통해 챗GPT에서 계정을 대규모로 탈취할 수 있다고 지적했다. 이 프로세스는 완전히 자동화돼 있으며, 분당 50~200건을 확인할 수 있다. 또 프록시 구현을 지원해 대부분의 경우 이런 공격에 대한 웹사이트의 여러 보호 기능을 우회할 수 있다고 설명했다. 이어 “챗GPT 제품 타깃의 악용과 사기에 주력하는 한 사이버 범죄자는 자신을 ‘gpt4’라고 칭했다. 해당 범죄자는 스레드에서 챗GPT 계정뿐만 아니라 자격증명의 유효성을 검사하는 다른 자동화된 도구 구성도 판매하고 있었다”라고 덧붙였다.
이 밖에 연구진은 영어를 사용하는 한 사이버 범죄자가 지난 3월 20일 “100% 만족을 보장”하는 챗GPT 플러스 평생 계정 서비스를 광고하기 시작했다고 언급했다. 구매자의 이메일 계정으로 개설되는 챗GPT 플러스 계정의 평생 업그레이드 비용은 59.99달러다. 오픈AI의 서비스의 합법적인 가격은 월 20달러다. “비용을 더 줄이고 싶다면 24.99달러에 다른 사이버 범죄자와 챗GPT 계정 액세스 권한을 공유하는 옵션도 제공된다”라고 덧붙였다.
도난당한 챗GPT 계정 자격증명으로 무엇을 할 수 있을까?
도난당한 챗GTP 유료 계정 자격증명의 수요가 높은 이유는 다음과 같다. 사이버 범죄자가 지역 제한을 우회할 수 있어서다. 이란, 러시아, 중국 등 특정 지역에서는 챗GPT 서비스 사용이 제한된다. 물론 사이버 범죄자는 챗GPT API를 사용해 제한을 우회하고, 프리미엄 계정도 활용할 수 있다고 체크포인트는 덧붙였다.또 다른 잠재적 용도는 개인정보 확보다. 챗GPT 계정은 계정 소유자의 최근 쿼리를 저장하기 때문이다. “따라서 사이버 범죄자가 계정을 훔치면 원래 계정 소유자의 쿼리에 액세스할 수 있다. 여기에는 개인정보, 기업 제품 및 프로세스에 관한 세부 정보 등이 포함될 수 있다”라고 연구진은 설명했다.
지난 3월 오픈AI는 레디스(Redis) 클라이언트 오픈소스 라이브러리 버그로 챗GPT 중단 및 데이터 유출이 발생해 사용자가 다른 사용자의 개인정보와 채팅 쿼리를 볼 수 있었다고 밝혔다. 챗GPT 플러스 가입자 중 약 1.2%의 이름, 이메일 주소, 결제 주소, 일부 신용카드 정보 등 개인정보 및 채팅 쿼리가 노출됐다고 오픈AI는 인정했다.
챗GPT의 개인정보보호 문제
지난 몇 달 동안 챗GPT와 관련해 다양한 개인정보보호 및 보안 문제가 제기됐다. 이탈리아의 데이터 프라이버시 규제 기관은 이미 챗봇의 개인 데이터 수집 및 저장과 관련된 개인정보 침해 혐의로 챗GPT 사용을 금지했다. 당국은 오픈AI가 4월 30일까지 일련의 데이터 보호 요건을 충족하면 일시적인 챗GPT 금지를 해제할 계획이라고 전했다. 이 밖에 독일 데이터 보호 위원회는 데이터 보안 문제로 인해 챗GPT가 독일에서 차단될 수 있다고 경고했다.→ 이탈리아, 챗GPT 차단…GDPR 위반 여부 조사
한편 이번 주 초 오픈AI는 자사의 생성형 AI 시스템을 대상으로 한 버그 바운티 프로그램을 시작한다고 밝혔다. 오픈AI는 심각도에 따라 최소 200달러부터 최대 2만 달러까지 포상금을 지급할 예정이다.
→ “보상금 최대 2만 달러” 오픈AI, 챗GPT 오류 잡는 버그 바운티 시작
editor@itworld.co.kr