□ 개요

2022년 6월부터 2023년 5월에 101,100개 이상의 ChatGPT 계정 정보가 다크웹에서 발견되었습니다. 보안 회사 Group-IB는 불법 다크웹 시장에서 거래되는 인포스틸러 악성코드의 로그에서 ChatGPT 계정 정보를 발견했으며, 해킹된 ChatGPT 계정 수는 2023년 5월 26,803개로 최고치를 기록했다고 보고했습니다.

조사 결과에 따르면 가장 많은 표적이 된 아태지역은 41,000개의 ChatGPT 계정이 탈취되었고, 유럽은 17,000개, 북미는 4,700개를 차지했습니다. ChatGPT 계정이 가장 많이 탈취된 국가는 인도이며, 그 뒤로는 파키스탄, 브라질, 베트남, 이집트, 미국, 프랑스, ​​모로코, 인도네시아, 방글라데시가 있습니다.

[그림 1] ChatGPT 계정 탈취 피해자 분포(출처: Group-IB)

인포스틸러는 메일 프로그램, 웹 브라우저, 메신저, 게임, 암호화폐 지갑 등의 애플리케이션에 저장된 계정 데이터를 훔치는 악성코드입니다. Redline 인포스틸러 악성코드의 경우 프로그램의 SQLite 데이터베이스에서 계정 정보를 찾아 CryptProtectData 기능으로 비밀번호를 복호화해 Chromium 기반 웹 브라우저에 저장된 계정 크리덴셜을 탈취합니다.

추가 분석에 따르면 ChatGPT 계정이 포함된 로그의 대부분이 Raccoon(80%)에 의해 침해된 것으로 확인되었으며 Vidar(13%)와 Redline(7%)이 그 뒤를 이었습니다.

[그림 2] 탈취된 ChatGPT 계정(출처: Group-IB)

ChatGPT를 사용하면 사용자의 대화 이력이 저장되기 때문에 공격자가 탈취된 ChatGPT 계정에 접근하면 독점 정보, 내부 비즈니스 전략, 대화 이력, 소프트웨어 코드 등에 대한 정보를 얻을 수 있습니다.

Group-IB의 드미트리 셰스타코프(Dmitry Shestakov)는 "많은 기업이 ChatGPT를 업무에 활용하고 있습니다. 직원들은 챗봇에 기밀문서를 입력하거나 소스 코드를 최적화합니다. ChatGPT의 기본 구성이 모든 대화를 기록한다는 점에서 보았을 때, 계정 크리덴셜을 획득한 공격자에게 민감한 정보를 제공할 수 있습니다."라고  말합니다.

삼성 등의 대기업은 직원이 업무용 컴퓨터에서 ChatGPT를 사용하는 것을 금지하고 정책을 따르지 않는 직원을 해고하겠다고 밝히기도 했습니다.

ChatGPT에 중요한 데이터를 입력한 경우, 설정 메뉴에서 Chat History & Training을 비활성화하거나 사용 후 대화 이력을 수동으로 삭제하는 것이 좋습니다. 하지만 대부분의 인포스틸러가 감염된 시스템의 스크린샷을 찍거나 키로깅을 하기 때문에 ChatGPT 대화 이력을 저장하지 않더라도 데이터 유출이 발생할 가능성은 존재합니다. 따라서 민감 정보를 다루는 사용자들은 클라우드 기반 서비스에 민감 정보 입력을 하지 않아야 하며 로컬 구축 및 자체 호스팅 서비스를 이용해야 합니다.

한편, ChatGPT는 지난 3월 22일 사용자의 대화 기록이 타인에게 노출되는 데이터 유출 사고를 겪었습니다.

□ 참고 자료

[1] Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list

https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ 

보안관제센터 MIR Team