📋한눈에 보는 AI 요약AI 자동 요약▶ 펼쳐보기
해커들이 메타(인스타그램의 모회사)의 AI 고객지원 도우미를 속여서 다른 사람의 인스타그램 계정을 빼앗는 사건이 발생했습니다. 해커들은 AI에게 계정의 이메일 주소를 자기 것으로 바꿔달라고 요청했고, AI는 별다른 확인 없이 그대로 따라했습니다. 오바마 전 대통령의 백악관 인스타그램 계정도 이런 방식으로 탈취당했습니다. 전문가들은 AI가 사람처럼 의심하거나 추가 질문을 하지 못하고, 시킨 일을 빨리 끝내려는 성향이 있어서 이런 일이 벌어졌다고 분석합니다. 기업들이 비용 절감과 경쟁을 위해 충분한 보안 점검 없이 AI를 서둘러 도입하는 것이 매우 위험하다는 경고가 나오고 있습니다.
왜 중요한가요?
AI가 고객 상담이나 계정 관리 같은 중요한 업무를 점점 더 많이 맡게 되면서, AI의 보안 허점이 곧 우리 개인정보와 계정의 안전에 직접적인 위협이 될 수 있기 때문에 매우 중요합니다.
주요 용어 설명
프롬프트 인젝션 (Prompt Injection)
AI에게 숨겨진 명령어를 몰래 주입해서 원래 의도와 다르게 행동하도록 조종하는 공격 방법입니다. 마치 선생님 몰래 시험 답안지에 가짜 지시를 끼워 넣는 것과 비슷합니다. 이메일이나 웹페이지 속에 보이지 않는 명령을 숨겨놓는 간접 방식도 존재합니다.
레드팀 테스트 (Red Team Testing)
서비스를 출시하기 전에 개발자들이 일부러 해커 역할을 맡아 자기 시스템을 공격해보는 보안 점검 과정입니다. 마치 도둑이 들어올 수 있는 곳이 없는지 직접 도둑 흉내를 내며 집을 점검하는 것과 같습니다. 이번 메타 사건에서는 이런 테스트가 충분히 이루어지지 않았다는 비판을 받고 있습니다.
보안과 활용성의 상충 관계 (Security-Usability Trade-off)
보안을 강화하면 사용이 불편해지고, 사용을 편리하게 하면 보안이 약해지는 딜레마를 뜻합니다. 집 현관에 자물쇠를 5개 달면 안전하지만 매번 열고 닫기가 매우 번거로운 것과 같은 원리입니다. AI 에이전트에게 많은 권한을 줄수록 업무 처리는 빨라지지만 해킹에 취약해지는 문제가 발생합니다.
⚡ Claude AI가 독자를 위해 자동 생성한 요약입니다. 원문을 함께 읽어보세요.
지난 6월 5일 기술·인터넷 전문 온라인 매체 404미디어는 메타의 AI 고객지원 에이전트를 악용해 인스타그램 계정을 탈취한 사건이 발생했다고 보도했다. 수법은 놀라울 만큼 단순했다. 해커들이 AI 에이전트에게 계정을 자신들이 통제하는 이메일 주소로 연결해 달라고 요청하자 에이전트는 이를 그대로 수행했다. 한 해커는 휴면 상태였던 오바마 백악관 인스타그램 계정을 탈취해 친이란 성향의 게시물을 올렸으며, 다른 해커들은 한 단어로 된 희소성 높은 사용자 이름을 가진 계정들을 잇따라 장악했다. 이들은 해당 계정을 되팔기 위해 이 같은 공격을 벌인 것으로 추정된다.
AI를 둘러싼 사이버보안 우려는 새로운 이야기가 아니다. 예를 들어 앤트로픽이 지난 4월 자사가 개발한 실험용 AI 모델 ‘미토스(Mythos)’가 고도의 해킹 및 사이버 공격 관련 능력을 갖춘 것으로 평가됨에 따라 악용 가능성을 우려해 일반 공개를 보류했다고 밝히자 연구자와 논평가, 미국 정부 관계자들은 강력한 AI 시스템이 컴퓨터 인프라에 심각한 위협이 될 수 있다는 가능성에 주목해 왔다.
다만 이번 인스타그램 해킹 사건은 그런 우려와는 결이 달랐다. AI가 공격자가 아니라 공격 대상이 됐고, 공격 수법 역시 미토스가 수행할 법한 복잡한 해킹과는 거리가 멀었다. 그럼에도 기업들이 점점 더 많은 업무를 AI에 맡기고 있는 만큼, 이처럼 단순한 공격도 큰 혼란으로 이어질 수 있다는 우려가 나온다.
MIT 테크놀로지 리뷰와 함께, 미래를 앞서가세요 !!
한달에 커피 2잔값으로 즐기기
온라인 멤버
지면 매거진 멤버
(온라인+지면) 프리미엄 멤버
유료회원 플랜 보기
회원이면 로그인하기
회원가입
회원 가입 후 유료 구독 신청을 하세요 !!
