AI 기반 사이버위협, “AI엔 AI로 대응한다”

[애플경제 엄정원 기자] 생성AI가 발전함에 따라 범죄자들은 정교한 챗봇이나, 딥페이크 영상, 복제된 음성, 자동화된 사기 토큰 네트워크 등을 악용하고 있다. 암호화폐 범죄는 더 이상 사람이 주도하는 방식이 아니라 알고리즘에 기반해서, 빠르고, 적응적이며, 점점 더 설득력이 높아지고 있다.

이에 “AI 범죄엔 AI로 대응해야 한다”는 목소리가 크다. 말 그대로 ‘눈에는 눈’으로 대응한다는 식이다.

생성AI 모델, 피해자 언어, 위치, 디지털 발자국 분석

이미 생성AI 모델은 사전에 피해자의 언어, 위치, 디지털 발자국을 분석할 수 있다. 랜섬웨어 공격에서 AI를 통해 뜯어낼 몸값이 가장 많고도 만만해보이는 피해자를 선택할 수 있다. AI를 통해 몸값 요구서를 작성하고, 협상 채팅을 자동화할 수도 있다.

소셜 엔지니어링 공격에서도 딥페이크 음성과 영상이 ‘임원 사칭’이나, 가족에 대한 위협 등을 통해 기업이나 개인을 속이거나 협박하는 데 사용되고 있다. 특히 최근엔 AI 도구가 스크립트를 작성하는 ‘온체인 사기’가 유행이다. 이는 단 몇 초 만에 수백 개의 지갑으로 자금을 이동시킬 수 있다. 도저히 인간이 따라올 수 없는 속도로 자금 세탁이 가능하다.

최근 암호화폐 업계는 이런 사기에 맞서기 위해 AI 기반 방어 체계에 주목하고 있다. 블록체인 분석 회사, 사이버 보안 회사, 거래소, 그리고 학계 연구자들은 피해자가 자금을 잃기 훨씬 전에 사기를 탐지, 탐지하고 완화하도록 설계된 머신러닝 시스템을 구축하고 있다.

예를 들어, 블록체인 인텔리전스 플랫폼의 모든 계층에 인공지능이 내장될 수도 있다. 이런 경우 머신러닝을 사용, 여러 개의 블록체인 네트워크에서 수조 개의 데이터 포인트를 처리한다. 이를 통해 지갑 네트워크를 매핑하고, 유형을 식별하고, 잠재적인 불법 활동을 나타내는 이상 행동을 파악할 수 있다.

사람이 놓칠 거래 등 공격 수법 파악

보안업체 TRM Labs는 ‘사이버 시큐리티 인사이더’에 “이런 시스템은 단순히 패턴을 감지하는 데 그치지 않고 학습을 한다”며 “데이터가 변경됨에 따라 모델도 변화하면서 암호화폐 시장의 역동적인 현실에 적응하기 마련”이라고 했다. 이를 통해 사람이 놓칠 수 있는 수천 건의 소규모 거래, 즉 사기, 자금 세탁 네트워크, 랜섬웨어 공격 수법들을 파악할 수 있다.

또 다른 사례에선 3가지 계층의 AI 사기 탐지 기능이 활용되기도 한다. 이 경우 데이터가 핵심이다. 암호화폐 거래소 같은 금융 플랫폼의 이면에 숨겨진 심층적인 신호들을 포착한다. 예를 들어 기기 속성, 앱 변조 여부, 사용자 행동 방식 등을 파악한다.

또한 모든 사용자 입력을 위해 신뢰할 수 있는 광범위한 데이터 제공업체 네트워크를 활용하기도 한다. 이 밖에도 사기 방지에 가장 중요한 컨소시엄 데이터를 활용, 기업들이 악의적인 행위자와 관련된 데이터를 다른 기업과 공유할 수 있도록 한다.

AI 위험 플랫폼 ‘사딘’은 “각각의 지표에 대해 실시간 위험 엔진을 사용하여 사기 발생 시 대응한다”고 덧붙였다. ‘사딘’은 또한 “오늘날 에이전트 AI와 대규모 언어 모델(LLM)은 실시간 사기 탐지보다는 자동화 및 효율성 향상에 주로 사용된다”고 지적했다.

이에 따르면 사기 탐지 규칙을 하드코딩하는 대신, 규칙에서 평가할 내용을 입력하기만 하면 AI 에이전트가 규칙을 작성하고 테스트한다. 그런 다음 요구 사항을 충족하는 경우 해당 규칙을 자동으로 배포한다. AI 에이전트는 새로운 패턴을 기반으로 사전에 규칙을 추천할 수도 있다. 물론 “위험 예측엔 머신러닝이 여전히 최고의 표준”이란 주장도 없지 않다.

이런 도구들은 이미 효과가 입증되고 있다. 보언업체가 패턴을 탐지하면 회사의 AI가 심층 분석을 수행, 공격 벡터 발생을 막기 위한 추세 권장 사항을 도출하기도 한다. “흔히 이를 사람이 완료하려면 하루가 걸리지만 AI를 사용하면 몇 초면 된다”고 했다.

주요 암호화폐 거래소들과 긴밀히 협력

예를 들어, 이 업체는 주요 암호화폐 거래소들과 긴밀히 협력, 비정상적인 사용자 행동을 감지한다. 사용자의 거래는 보안업체의 의사결정 플랫폼을 통해 처리되며, AI 분석은 이러한 거래의 결과를 판단, 거래소에 사전 통지를 제공한다.

TRM Labs 블로그 게시물은 “5월에 금융 그루밍 사기범으로 추정되는 사람과 화상 통화를 하던 중 실시간 딥페이크 영상을 목격했다”면서 “이런 유형의 사기범은 피해자와 장기적이고 신뢰적이며, 종종 감정적이거나 낭만적인 관계를 형성, 자금을 빼돌린다”고 했다.

사이버 보안 회사 ‘Kidas’도 AI를 활용하여 사기를 탐지하고 예방하고 있다. 자체 모델이 콘텐츠, 행동, 시청각적 불일치를 실시간으로 분석, 딥페이크와 LLM(로고 생성자)을 이용한 피싱을 상호작용 시점에 식별할 수 있다.

이를 통해 즉각적인 위험 평가 및 실시간 차단이 가능해진다. 이는 자동화되고 확장된 사기 행위에 대응하는 유일한 방법이다. 또한 이 회사 툴이 ‘디스코드’에서 두 건의 암호화폐 사기 시도를 성공적으로 차단했다. 이러한 신속한 식별은 툴의 중요한 실시간 행동 분석 기능을 보여준다. 이를 사용자 계정 침해 및 잠재적인 재정적 손실을 효과적으로 방지한다.