최근 악성코드 개발자들이 생성적 AI를 이용해 코드 작성 속도를 높이며 공격을 가속화하고, 기술적으로 숙련된 누구나 쉽게 악성코드를 개발할 수 있는 환경이 조성되고 있다. HP의 Wolf Security 팀은 9월 보고서에서, 의심스러운 이메일을 조사하던 중 비동기 원격 접근 트로이목마(AsyncRAT)의 변형을 발견했다고 밝혔다. AsyncRAT는 사용자의 컴퓨터를 원격으로 제어할 수 있는 소프트웨어로, 이 새로운 버전은 생성적 AI로 개발된 것으로 보이는 주입 방법을 포함하고 있었다.

이전에도 연구자들은 생성적 AI를 이용한 "피싱 유인물"이나 피해자를 속이기 위한 기만적인 웹사이트를 발견한 적이 있지만, 이 기술이 생동감 있는 악성 코드 작성에 사용된 사례는 부재했던 것으로 보고되었다. 이번 프로그램은 구조와 함수 이름, 변수 선택 등이 AI에 의해 개발되었음을 강력히 시사하는 여러 특성을 지니고 있었다. 사이버 범죄자들은 일반적으로 코드 독자를 위한 주석을 달지 않기 때문에, 이러한 세심한 일처리는 이 코드가 AI의 도움을 받아 개발되었음을 나타낸다.

연구팀은 HP의 Sure Click 위협 격리 소프트웨어 사용자에게 발송된 이메일에서 이 악성코드를 처음 발견했으며, 이 이메일은 프랑스어로 작성된 청구서 형태를 나타내 프랑스어 사용자를 대상으로 하는 악성 파일일 가능성이 높았다. 초기에는 파일의 기능을 명확히 파악할 수 없었으나, 결국 비밀번호를 풀어 파일을 해독한 뒤 파일 안에 숨겨진 악성코드를 드러낼 수 있었다. 해독한 파일 내부에는 사용자의 PC 레지스트리에 변수를 기록하고, 자바스크립트 파일을 삽입 및 실행한 후, 이 자바스크립트 파일이 레지스트리에서 변수를 불러와 Powershell 프로세스에 주입하는 방식을 통해 AsyncRAT 악성코드를 설치하는 방식이 포함되어 있었다.

AsyncRAT는 2019년 GitHub을 통해 출시된 소프트웨어로, 개발자들은 이를 "정당한 오픈 소스 원격 관리 도구"로 주장하지만, 사실상 사이버 범죄자들에 의해 거의 독점적으로 사용되고 있다. 이 소프트웨어는 감염된 호스트를 원격으로 제어할 수 있게 해주며, 공격자는 이를 이용해 피해자의 암호화폐 사용자 개인 키나 비밀 문구를 탈취할 수 있는 위험이 존재한다.

이번 변형은 새로운 주입 방법과 함께 AI에 의해 생성된 코드의 징후를 발견한 것으로, 이는 악성코드 개발자들이 공격을 수행하는 데 있어 점점 더 용이해질 것이라는 점을 반영한다. HP의 보고서에서는 "이러한 활동은 생성적 AI가 공격을 가속화하고 사이버 범죄자가 엔드포인트를 감염시키는 문턱을 낮추고 있다는 것을 보여준다"고 밝혔다.

사이버 보안 전문가들은 AI의 발전이 보안에 미치는 영향에 대해 여전히 고심하고 있으며, 최근 일부 ChatGPT 사용자들은 이 프로그램을 이용해 스마트 계약의 취약점을 발견할 수 있음을 입증했다. 이는 화이트 해커에게는 도움이 될 수 있는 도구가 될 수 있지만, 동시에 블랙 해커가 악용할 수 있는 가능성도 내포하고 있다.

2023년 5월, 메타의 보안 부서는 일부 악성코드 운영자들이 인기 있는 생성적 AI 프로그램의 가짜 버전을 생성하여 피해자를 유인하고 있다는 경고를 발표한 바 있다. 이러한 추세가 계속된다면, 향후 사이버 범죄에 대한 새로운 대응 전략이 필요할 것으로 보인다.