독일 연방 사이버 보안 기관, 인공지능이 가져다줄 잠재적 위협에 대응
독일 연방 정보 보안국(BSI)은 인공지능(AI)이 사이버 보안 환경에 미치는 영향을 인정하며 차분한 평가를 유지합니다. BSI는 특히 대형 언어 모델을 포함한 AI에서 혁신적 발전이 없음을 강조하면서도 주시적인 접근을 권장합니다. BSI는 비상을 외치지는 않고 오히려 AI 기술이 발전함에 따라 경계심을 가지고 있습니다.
BSI, 사이버 보안에 미치는 AI의 영향 논의
흥미 있는 당사자들에게 제공되는 BSI의 분석은 heise online과 같은 매체를 통해 AI와 관련된 알려진 및 잠재적 위협 시나리오를 세밀하게 살피고 있습니다. 광범위한 위험은 아직 나타나지 않았으나, AI가 사회 공학 및 악의적 코드 생성과 같은 영역에서 해로운 활동을 개선할 수 있는 잠재력은 명백합니다. 예를 들어 AI의 발전으로 전통적인 철자 오류와 비정상적 언어 사용을 중점으로 한 검출 방법을 뛰어넘는 피싱 공격의 위험성이 증대했습니다.
악성 소프트웨어 자동 생성은 아직 한정적
AI가 단순한 악성 소프트웨어를 생산할 수는 있지만, 고급이면서도 알려지지 않은 악성 소프트웨어를 자동으로 생성하는 일은 아직 이루어지지 않았습니다. BSI는 AI에 의한 자동 은닉 전술이나 AI에 의한 제로데이 취약점의 독립적 발견 및 악용이 현재 현실화된 것은 아니라고 확인합니다.
사이버 공격 능력에서 AI의 역할 탐색
직접적인 공격을 시작하는 AI 기반 도구에 대해서는, BSI는 자동화된 침투 테스트와 같은 강화된 방어 시스템 가능성을 예측합니다. 그러나 어떠한 인프라도 침투할 수 있는 완전히 자동화된 에이전트는 아직 운영되고 있지 않으며 미래에도 기대되지 않습니다. BSI는 AI를 자율적인 공격 도구로 대규모로 적용하는 것은 여전히 집중적인 연구 범위 내에 있다고 주장합니다.
AI는 현재 시스템 환경 및 잠재적 취약점을 매핑하는 등 좀 더 제한적인 방식으로 활용됩니다. AI 기반의 분석은 잘 보호받는 시스템에 의해 감지될 수 있지만, 설정된 보안 메커니즘을 우회하는 데는 AI 구현이 더욱 진보되어 있습니다. 예를 들어 유출된 데이터로 브루트포스 공격을 사용하여 암호를 깨는 경우 성공률이 향상되었고, 자동화된 인식 능력의 향상으로 인해 captcha 보안과 같은 중요한 도전이 있습니다.
AI 모델에 내장된 악성 소프트웨어의 위협
BSI에게 우려를 불러일으키는 특히 교활한 공격 벡터 중 하나는 AI 모델 내에 포함된 악성 소프트웨어입니다. AI 도입으로의 급격한 추진으로 인해 신경망 매개변수 내에 암호화된 악성 코드의 위험성이 상당히 증가하고 있습니다. 게다가 악의적 코드는 주로 다양한 플랫폼 상에서 분배되는 훈련된 모델 내에 숨겨져 있을 수 있습니다.
요약하면, BSI의 최신 보고서는 신중한 접근을 보여주지만, 영국 조직과는 다르게 더 경계심 없는 견해를 제시하지는 않습니다. BSI의 Plattner 회장은 산업, 학계 및 정치 간의 협력을 촉구하여 인재 부족 문제를 해결하고 사이버 보안 강건성을 향상시키기로 결론을 내리고 있습니다.