By MATT BURGESS, WIRED UK

지난 8개월 동안 챗GPT는 소설부터 컴퓨터 프로그램 코드까지 모든 종류의 텍스트를 실제 인간이 작성한 듯한 수준으로 작성하는 능력으로 전 세계 인구 수백만 명을 놀라게 했다. 그러나 오픈AI의 챗봇인 챗GPT가 할 수 있는 일은 매우 제한적이다.

대규모 언어 모델은 사용자의 명령어에 따라 표면적으로는 사용자의 명령과 관련이 있는 것처럼 보이는 텍스트를 생성한다. 챗봇이 사용자에게 전달하는 데이터 일부는 2021년 9월, 인터넷에서 수집한 데이터 일부를 바탕으로 생성된 내용이다. 답변 생성 시 웹에서 새로운 데이터를 수집하지 않는다. 플러그인을 실행하면, 추가 기능을 사용할 수 있다. 하지만 플러그인은 오픈AI의 업데이트된 대규모 언어 모델인 GPT-4 버전 유료 서비스 사용자만 사용할 수 있다.

2023년 3월, 오픈AI가 챗GPT 플러그인을 출시하자 많은 개발자가 챗GPT로 더 많은 작업을 처리하는 데 이용할 플러그인 개발 및 출시 경쟁을 펼쳤다. 그동안 등장한 플러그인은 항공권 검색, 여행 계획 세우기 등을 지원하여 챗GPT가 웹사이트, 문서, 영상 속 텍스트에 접근하여 분석하도록 한다. 간혹 테슬라 차량 소유주 매뉴얼 대화나 영국 정치 연설 검색 기능 제공을 약속하는 등 틈새를 공략한 플러그인도 찾아볼 수 있다. 현재 챗GPT 플러그인 스토어에는 각종 플러그인이 100페이지 넘게 게재되었다.

챗GPT 플러그인이 폭발적으로 증가한 가운데, 복수 보안 연구원이 플러그인 운영 방식에는 사용자 데이터 위험 문제나 해커 세력의 악용 가능성과 같은 몇 가지 문제가 존재한다고 경고했다.
 
일렉트로닉 아츠(Electronic Arts) 레드팀 책임자이자 보안 연구원인 요한 레버거(Johann Rehberger)가 틈틈이 시간을 내 챗GPT 플러그인의 문제점을 기술한 문서를 완성했다. 레버거는 챗GPT 플러그인의 사용자 데이터 이력 탈취, 개인 정보 획득, 타인의 기기를 통한 원격 코드 실행 등 악의적인 목적으로 이용될 수 있다는 경고 사항을 기술했다. 레버거는 주로 온라인 계정 전체에서 데이터를 공유할 수 있는 웹 표준인 오쓰(OAuth)를 사용하는 플러그인의 보안 문제를 조사했다. 레버거는 플러그인 개발자 5~6명에게 개인적으로 연락해 문제를 제기하고, 오픈AI에도 몇 차례 연락했다.

레버거는 “챗GPT는 플러그인을 신뢰할 수 없다. 기본적으로 플러그인을 통해 무엇이든 전달받을 수 있어, 플러그인에서 돌아오는 바를 신뢰할 수 없다”라고 말했다. 악성 웹사이트나 문서가 플러그인을 이용해 대규모 언어 모델을 대상으로 명령 주입 공격(prompt injection attack)을 실행할 수 있다. 혹은 악성 비용 청구 프로그램을 삽입할 수도 있다.
 
레버거는 사용자 권한을 탈취한 플러그인 요청을 통해서도 데이터를 탈취할 수 있다고 전했다. 웹사이트에는 챗GPT가 다른 플러그인을 실행하고는 추가 행동을 수행하도록 하는 명령 주입을 포함되었을 수도 있다. 레버거는 개념 증명을 통해 이를 입증했다. 사이버 보안 연구원 사이에서는 이를 플러그인 하나가 다른 플러그인을 실행하도록 하는 ‘체인’이라고 칭한다. 레버거는 “챗GPT 플러그인에는 실제 보안 경계가 없다. 보안과 신뢰가 무엇인지, 각각의 이해 관계자의 실제 책임이 무엇인지 모두 제대로 정의되지 않았다”라고 설명했다.

챗GPT 플러그인은 출시 이후 초기 실험판인 베타 버전으로 배포됐다. 챗GPT에서 플러그인을 실행하면, 시스템은 사용자에게 사용하기 전 플러그인을 신뢰해야 한다고 경고한다. 또, 챗GPT에 실행하는 플러그인은 개인 대화와 기타 데이터를 플러그인으로 전송한다는 점도 경고한다.

오픈AI 대변인 니코 펠릭스(Niko Felix)는 오픈AI가 시스템 악용으로 이어질 수 있는 챗GPT 보안 문제 개선 작업을 진행 중이라고 전했다. 오픈AI는 현재 플러그인을 스토어에 등록하기 전 검토를 진행한다. 오픈AI는 2023년 6월, 공식 블로그 게시글을 통해 툴의 결과에서 발생한 신뢰할 수 없는 데이터가 모델에 의도치 않은 행동을 수행하도록 지시할 수 있다고 경고했다. 경고와 함께 개발자에게는 챗GPT로 이메일 전송 등 실제 세계에 영향을 미칠 수 있는 작업 실행 전 사용자가 직접 ‘확인’ 버튼을 누르도록 독려했다.

펠릭스 대변인은 “챗GPT 플러그인은 오픈AI 외부에서 개발되지만, 오픈AI는 사용자가 신뢰할 수 있는 외부 기관의 플러그인 라이브러리를 제공하고자 한다”라며, 사용자가 더 안전하게 사용할 플러그인 개발 방법을 탐색 중이라고 덧붙였다. 이어, “예를 들어, 중요한 역할을 할 의도로 플러그인을 개발했다면, 사용자에게 수월하게 확인 흐름을 제공하고자 한다”라고 전했다. 오픈AI는 어느 한 개발자의 깃허브 페이지에서 사용자 허락을 구하지 않은 진입점을 생성한 플러그인 최소 1개를 삭제했다. 작업 실행 전 사용자 확인 요구를 명시한 오픈AI의 정책을 위반했기 때문이다.

챗GPT 플러그인 라이브러리는 애플과 구글 앱스토어와 달리 현재 플러그인 개발에 참여한 개발자 목록이나 플러그인이 수집한 데이터 사용 방식을 담은 정보를 제공하지 않는다. 오픈AI가 발행한 지침은 플러그인을 개발하는 개발자는 오픈AI의 콘텐츠 지침을 따르고, 플러그인 제작자의 연락처를 포함한 매니페스트 파일(manifest file) 제공 등을 따라야 한다는 내용을 명시했다. 챗GPT에서 플러그인을 검색하고 실행하면, 플러그인 이름과 간략한 설명, 로고만 볼 수 있다. (오픈AI와 관련이 없는 외부 웹사이트에서 추가 정보를 볼 수 있다.)

오픈AI가 플러그인을 출시했을 당시 다수 연구원이 보안 위험성과 웹에 GPT-4를 연결할 때의 여파를 경고했다. 하지만 플러그인의 문제는 오픈AI와 챗GPT에만 국한된 문제가 아니다. 웹에 연결하는 대규모 언어 모델이나 생성형 AI 시스템 무엇이든 비슷한 위험성을 적용할 수 있다. 플러그인이 앞으로 대규모 언어 모델 사용 방식에서 중요한 역할을 할 수도 있다. 오픈AI에 거액을 투자한 마이크로소프트는 플러그인 제작 시 챗GPT와 같은 기준을 적용할 계획이라고 밝혔다. 2023년 5월, 마이크로소프트 최고 기술 책임자 케빈 스콧(Kevin Scott)은 “결국, 플러그인의 생태계가 매우 풍부해질 것으로 예상한다”라고 말했다.

마이크로소프트 AI 보안 부사장 장 가와구치(Chang Kawaguchi)는 마이크로소프트가 반복 접근 방식을 택하여 자사 AI 코파일럿(AI Copilot) 보조 툴 플러그인 지원 사항을 출시한다고 전했다. 가와구치 부사장은 “마이크로소프트는 플러그인에도 기존 제품 통합 게재, 인증, 증명, 관리 절차를 확대하여 마이크로소프트 코파일럿 고객이 플러그인과 접근하는 데이터, 플러그인 배포 권한이 있는 이들 전체를 관리하도록 확인한다”라고 말했다. 또, 마이크로소프트가 보안 지침 문서 작성 작업을 진행 중이며, 외부 연구원과 발견한 문제를 두고 협력한다고 밝혔다.

플러그인, 그리고 더 넓은 범위에서는 대규모 언어 모델과 관련된 문제 다수는 신뢰 문제이다. 신뢰 문제에 포함된 사항은 시스템 사용 시 사용자의 개인 및 기업 데이터 신뢰, 시스템 사용 시 제공하는 정보의 부적절한 사용 혹은 접근 문제가 발생하지 않도록 확인할 통제 사항 및 조처 여부 등이다.

콘트래스트 시큐리티(Contrast Security) 최고 제품 책임자 겸 대규모 언어 모델 보안 위험성 상세 공개 프로젝트 책임자인 스티브 윌슨(Steve Wilson)은 “플러그인 사용 시 개인 데이터베이스와 기타 시스템에 접근할 수 있는 외부 기관에 키를 건넬 수도 있다”라고 말했다. 윌슨은 다른 보안 연구원과 AI 전문가 450여 명과 함께 오픈 월드와이드 애플리케이션 보안 프로젝트(Open Worldwide Application Security Project, OWASP)의 일환으로 진행한 대규모 언어 모델의 가장 심각한 보안 위협 10종 목록 생성 작업에 협력했다고 전했다.

윌슨은 다수 개발자가 서둘러 대규모 언어 모델 애플리케이션과 서비스 개발에 나서므로 보안 위협 목록 생성 협력 노력이 존재한다고 말했다. 그러나 아직은 대규모 언어 모델 애플리케이션 및 서비스 개발 시 보안을 위해 필요한 바를 다룬 지침은 거의 없다. 대규모 언어 모델 관련 위협 중 가장 심각한 위협으로 나열된 문제는 악성 데이터가 AI 시스템을 통제하려 하는 명령 주입 공격이다. OWASP는 데이터 오염 공격(data poisoning), 공급망 취약점 등도 심각한 위협 목록으로 포함했다. 플러그인을 보안 위험 요소로 지목하기도 했다.

OWASP 작성 작업에 참여한 연구원은 대규모 언어 모델 플러그인 공격이 발생할 수 있는 6가지 상황을 나열했다. 플러그인을 통한 악성 URL 사용과 SQL 공격, 인증 과정 없는 작업 수행 등이 언급됐다. 특히, 연구팀은 개발자는 제대로 된 인증 과정이 존재하도록 확인하고 민감한 플러그인을 다른 플러그인 실행 후 호출되지 않도록 하는 등 위험성을 피할 여러 단계를 적용해야 한다고 강조했다.

윌슨은 전반적으로 대규모 언어 모델 사용자 누구나 입력하는 정보를 매우 신중하게 생각해야 한다고 말한다. 그는 “사용자는 대규모 언어 모델 사용 시 개인 정보 사용, 저장, 다른 곳에 전달될 가능성 등을 무조건 확신하는 것은 아니다. 플러그인이 또 다른 데이터 유출 위험성을 더한다는 점이 분명하다. 대규모 언어 모델 및 관련 플러그인 사용 시 발생하는 정보 보호를 거의 이해하지 못하는 사용자가 대다수이다. 따라서 플러그인의 안전 확인 능력도 아직 존재하지 않는다”라고 설명했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Beware Your ChatGPT Plugins