싱가포르에 본사를 둔 사이버 보안 회사인 Group-IB는 "10만 건 이상의 ChatGPT 계정이 악성코드에 의해 도난당하고 다크 웹에서 거래되고 있다."라고 보고했습니다.
ChatGPT는 기본적으로 사용자 쿼리 및 AI 응답 기록을 저장하므로 ChatGPT 계정에 대한 무단 액세스는 기업의 기밀 정보와 개인 정보의 유출로 이어질 위험이 있습니다.
Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list | Group-IB
https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/
Trove of ChatGPT creds found on dark web • The Register
Trove of ChatGPT creds found on dark web
Cybercrooks hoping users have whispered employer secrets to chatbot
www.theregister.com
Group-IB의 위협 인텔리전스 플랫폼은 다크 웹 사이버 범죄 포럼, 마켓플레이스, 폐쇄 커뮤니티 등을 실시간으로 모니터링하고 있습니다. 이에 따라 침해된 자격 증명이나 새로운 악성코드를 식별하고 추가 피해가 발생하기 전에 위험을 식별하고 있다는 것.
Group-IB는 감염된 기기에서 다양한 자격 증명을 훔치는 인포스틸러라는 악성코드로 지난 1년간 10만 1,000건이 넘는 'ChatGPT 계정 자격 증명'이 도난당했다고 보고 했습니다.
인포스틸러는 주로 웹서비스 자격증명과 신용카드 세부정보, 암호화폐 지갑 비밀번호, 이메일 및 메시징 앱 대화 등을 수집하고 있으며, 도난당한 데이터는 호스트에 의해 악용되거나 기타 해커에게 판매되고 있습니다.
아래 그림은 2022년 6월 ~ 2023년 5월에 걸쳐 인포스틸러에 의해 침해되어 다크웹에서 거래된 ChatGPT 계정의 건수를 나타낸 것입니다. 2022년 6월 시점에서는 월 74건이었지만, 11월에는 1,134건까지 증가해, 2023년 5월에는 2만 6,802건에 달해, 역대 최고 건수가 되었습니다. 감시 기간 동안 침해된 ChatGPT 계정은 10만 1,134건에 이르며, 그중 7만 8,348건이 Raccoon, 1만 2,984건이 Vidar, 6773건이 Redline이라는 인포스틸러에 의해 침해된 것입니다.
또한 인포스틸러에 침해된 ChatGPT 계정은 지역별 편향도 보이며
아시아 태평양 지역은 4만 999건,
중동·아프리카가 2만 4,925건,
유럽이 1만 6,951건,
라틴 아메리카가 1만 2,314건 건,
북미가 4,737건,
CIS(독립 국가 공동체)가 754건,
인도가 1만 2,632건,
파키스탄이 9,217건,
브라질이 6,531건,
지역 불명이 454건의 계정 도난을 당했다고 Group-IB는 보고했습니다.
최근 컨설팅 기업 맥킨지 앤 컴퍼니의 간부가 "직원의 약 절반은 맥킨지의 허가를 얻은 뒤 제네레이티브 AI를 이용하고 있습니다."라고 밝히는 등 직원이 ChatGPT를 비롯한 AI를 작업에 사용하는 경우가 늘고 있습니다. 게다가 "기업의 기밀 데이터를 ChatGPT에 입력한 적이 있다."는 직원이 늘고 있는 것으로 알려져 있으며, ChatGPT를 통해 기밀 정보가 유출될 위험성도 지적되고 있습니다.
이미 삼성 엔지니어가 ChatGPT에 사외 비밀 소스 코드를 붙여 넣는 보안 사안이 발생하고 있으며, Apple은 기밀 데이터 유출에 대한 우려로 ChatGPT 등의 외부 AI 도구를 이용하는 것을 제한하고 있습니다.
삼성 엔지니어가 ChatGPT에 사외 비공개 소스 코드를 붙여 넣는 보안 사안이 발생
삼성 엔지니어가 ChatGPT에 사외 비공개 소스 코드를 붙여 넣는 보안 사안이 발생
삼성의 반도체 사업 직원이 사외 비공개 프로그램 소스 코드를 ChatGPT에 입력하여, '사내 정보 유출 사고'가 발생한 것으로 보도되었습니다. 삼성 측은 직원들에게 ChatGPT를 사용할 수 있도록 허락
doooob.tistory.com
ChatGPT는 기본적으로 사용자의 쿼리 및 응답 기록을 저장하므로 인포스틸러가 직원이 사용하는 ChatGPT 계정을 침해할 경우 기업의 기밀 정보 등이 유출될 수 있습니다.
기술 기반 미디어인 BleepingComputer는 기밀 정보를 ChatGPT에 입력할 때, 설정 메뉴에서 채팅 저장 기능을 비활성화하거나 대화가 끝나면 기록을 삭제할 것을 권장합니다. 하지만 인포스틸러는 시스템 스크린샷이나 키 로깅으로 인한 데이터 침해를 일으키는 경우가 있어 채팅이 ChatGPT 계정에 저장되지 않아도 데이터 유출이 발생할 수 있다고 경고하고 있습니다.
'AI · 인공지능 > AI 뉴스' 카테고리의 다른 글
| MS가 GPT-3.5의 100분의 1 이하의 파라미터로 GPT-3.5를 웃도는 'phi-1' 발표 (2) | 2023.06.23 |
|---|---|
| 최대 24배 빠른 대규모 언어 모델 라이브러리 「vLLM」의 등장과 PagedAttention 구조 (2) | 2023.06.23 |
| AI의 등장으로 컴퓨터의 UI는 '제3의 패러다임'으로 이동 (2) | 2023.06.22 |
| 메르세데스 벤츠가 ChatGPT를 시험적으로 탑재, 90만대 이상의 차로 실증 실험 (2) | 2023.06.22 |
| 구글 딥마인드에서 자가 개선형 AI「 RoboCat」이 등장 (2) | 2023.06.22 |
| Meta가 개발한 음성 생성 AI 「Voicebox」는 타인의 목소리로 문장을 읽는 것이 가능 (4) | 2023.06.21 |
| 구글이 생성 AI와 검색 기능을 융합시켜 새로운 쇼핑 체험을 제공 (3) | 2023.06.20 |
| 그래미상의 주최 단체가 음악에서의 AI 이용에 대한 견해를 발표, AI 사용은 가능하지만 완전 AI 생성곡은 금지 (3) | 2023.06.20 |
