마이크로소프트, AI 악용 범죄자들 상대로 법적 조치
마이크로소프트가 자사의 클라우드 AI 제품 안전 장치를 우회하고 이를 악용하려는 도구를 의도적으로 개발한 일당을 상대로 법적 조치를 취했다고 밝혔다.
계정 도용 및 불법 소프트웨어 사용에 대한 고소
마이크로소프트는 2023년 12월 미국 버지니아 동부 지방법원에 고소장을 제출했다. 이 고소장에 따르면 익명의 10명으로 이루어진 피고들은 고객 계정을 도용하고 맞춤형 소프트웨어를 사용해 Azure OpenAI 서비스를 무단으로 침범했다고 주장했다.
회사는 피고들이 컴퓨터 사기 및 남용법(Computer Fraud and Abuse Act), 디지털 밀레니엄 저작권법(Digital Millennium Copyright Act), 그리고 연방 공갈법(Racketeering Law)을 포함한 여러 법률을 위반했다고 지적했다. 이들은 소프트웨어와 서버를 활용해 유해하거나 불법적인 콘텐츠를 생성했다고 하지만, 이러한 콘텐츠의 세부적인 내용은 공개되지 않았다.
도난된 API 키와 악용 사례
마이크로소프트에 따르면, 2024년 7월에 Azure OpenAI 서비스의 API 키가 도난당한 사실을 발견했으며, 이 키들은 유료 고객들로부터 빼돌려져 불법 활동에 사용됐다. 조사 결과, 이 도난된 키를 사용해 애플리케이션을 개발하고 서비스 악용에 이용한 것으로 밝혀졌다.
회사 측은 피고들이 미국 기반 고객들의 도난된 API 키를 활용, '해킹 서비스'(Hacking-as-a-Service)를 구축했다고 주장했다. 특히, 새로운 클라이언트 측 도구 'de3u'를 설계해 Azure OpenAI 서비스와의 소통을 보조하는 소프트웨어를 제작한 것으로 나타났다.
AI 이미지 생성 악용과 안정장치 회피
도구 'de3u'는 코드 작성 없이도 도난된 API 키를 사용해 DALL-E를 통해 이미지를 생성할 수 있도록 돕는 역할을 했다. 또한, Azure OpenAI 서비스의 이미지 생성 명령어 수정 작업을 회피하는 방식으로 개발되었다고 전해졌다.
고소장에서는 "피고들이 프로그램화된 API 접근 방식을 통해 마이크로소프트의 콘텐츠 및 악용 방지 장치를 우회하는 기법을 되짚어낸 것으로 보인다"고 밝혔다.
법적 대응과 추가 조치
마이크로소프트는 법원의 승인을 받아 피고들 운영에 사용되던 웹사이트를 압수하고 추가적인 기술 기반 구조를 방해할 수 있는 근거를 마련했다. 데이터 수집 및 불법 행위 방지를 위한 법적 근거를 확보한 셈이다.
이와 함께, Azure OpenAI 서비스에 대한 관찰된 활동을 목표로 한 추가적인 안정 장치를 도입하고 대응책을 마련했다고 회사 측은 전했다.
의견
마이크로소프트의 이번 조치는 클라우드 AI 기술의 안전성과 윤리적 사용 확립을 위해 반드시 필요한 단계다. 대규모의 기술 악용 사례는 서비스 제공자 뿐만 아니라 고객과 사용자들에게도 치명적인 영향을 미칠 수 있다. 따라서, 이러한 강력한 대응은 향후 유사 사건을 예방하고 AI 기술 발전의 긍정적 활용을 장려하는 데 중요한 역할을 할 것으로 보인다.