델리에 거주하는 한 정보 기술 전문가는 대학 시절 지인이라고 주장하는 번호로 메시지가 떴을 때 처음에는 호기심이 생겼습니다. 인도 행정 서비스(INS) 직원으로 위장한 발신자는 준군사 조직에 있는 친구가 전근을 가는데 고급 가구와 가전제품을 "엄청 싸게" 처분해야 한다고 주장했습니다.
이는 인도에 만연한 디지털 사기 수법인 전형적인 "군대 전입" 사기였습니다. 하지만 피해자는 전화번호를 차단하거나 사기의 희생자가 되는 대신, 사이버 범죄자들을 돕는 것으로 자주 비난받는 바로 그 기술, 즉 인공지능을 이용하여 상황을 역전하기로 결정했다고 주장합니다.
Reddit에 게시된 자세한 내용 에 따르면, u/RailfanHS라는 아이디로 알려진 이 사용자는 OpenAI의 ChatGPT를 사용하여 추적 웹사이트에 "진동 코드" 를 입력했습니다. 이 함정은 사기꾼의 위치 정보와 얼굴 사진을 성공적으로 수집했고, 이는 극적인 디지털 대치로 이어졌으며, 사기꾼은 자비를 구했다고 합니다.
Reddit 사용자의 신원을 독립적으로 확인할 수 없었고, 특정 개인은 익명으로 유지되었지만, 게시물에 설명된 기술적 방법은 플랫폼의 개발자 커뮤니티와 AI 애호가에 의해 면밀히 조사되고 검증되었습니다.
이 사건은 기술에 정통한 사람들이 사기꾼을 미끼로 이용해 시간을 낭비하게 하거나 사기 행위를 폭로하게 하는 자경단적 정의 행위인 " 스캠베이팅 "이 점차 확산되고 있는 추세를 잘 보여줍니다. 이는 생성적 AI의 도움으로 발전하고 있습니다.
인도 전역에 널리 알려진 이 사건은 익숙한 대본으로 시작되었습니다. 사기꾼은 상품 사진과 QR 코드를 보내 선불금을 요구했습니다. 스캔에 기술적인 문제가 있다고 주장하며 u/RailfanHS는 ChatGPT에 연락했습니다.
그는 AI 챗봇에게 결제 포털을 모방한 기능적인 웹페이지를 생성하라는 메시지를 보냈습니다. "80줄짜리 PHP 웹페이지"라고 설명된 이 코드는 방문자의 GPS 좌표, IP 주소, 그리고 전면 카메라 스냅샷 캡처하도록 비밀리에 설계되었습니다.
추적 메커니즘은 소프트웨어 익스플로잇만큼이나 사회 공학적 기법에도 부분적으로 의존했습니다. 일반적으로 무음 카메라 접근을 블록 브라우저 보안 기능을 우회하기 위해, 사용자는 사기꾼에게 "결제 과정을 신속하게 처리"하기 위해 링크(Chainlink) 에 QR 코드를 업로드해야 한다고 말했습니다. 사기꾼이 사이트에 접속하여 이미지 업로드 버튼을 클릭했을 때, 브라우저는 카메라 및 위치 접근을 허용하라는 메시지를 표시했습니다. 사기꾼은 자금을 확보하기 위해 서두르다가 자신도 모르게 허용한 권한입니다.
"탐욕과 성급함에 이끌려, 그리고 거래 포털의 모습을 전적으로 신뢰하며 그는 링크(Chainlink) 를 클릭했습니다." u/RailfanHS는 r/delhi 서브레딧 게시글에 이렇게 적었습니다. "저는 즉시 그의 실시간 GPS 좌표와 IP 주소를 받았고, 가장 만족스러운 것은 그가 앉아 있는 모습이 선명하게 담긴 전면 카메라 스냅샷 ."
보복은 신속했습니다. IT 전문가는 수집된 데이터를 사기꾼에게 돌려보냈습니다. 게시물에 따르면, 그 효과는 즉각적 공황 상태였습니다. 사기꾼의 전화선에는 사용자에게 쏟아지는 전화와 용서를 구하는 메시지, 그리고 범죄 생활을 포기하겠다는 약속이 이어졌습니다.
RailfanHS는 "그는 이제 애원하며 이 일을 완전히 그만두겠다고 고집하고, 다시 기회를 간절히 요청하고 있었습니다."라고 적었습니다. "말할 필요도 없이, 그는 바로 다음 순간 누군가에게 사기를 치고 있을 테지만, 도둑에게서 훔치는 만족감은 정말 말도 안 됩니다."
인터넷 정의에 대한 극적인 이야기는 종종 회의적인 시각을 불러일으키지만, 이 공격의 기술적 기반은 해당 스레드의 다른 사용자들에 의해 검증되었습니다. u/BumbleB3333이라는 닉네임을 가진 한 사용자는 ChatGPT를 사용하여 "더미 HTML 웹페이지"를 성공적으로 복제했다고 보고했습니다. 이들은 AI가 은밀한 감시를 위한 악성 코드 생성을 차단하는 기능을 갖추고 있지만, 사용자 권한을 요청하는 합법적인 사이트처럼 보이는 코드를 손쉽게 생성한다는 점을 지적했습니다. 바로 이 때문에 사기꾼이 함정에 빠졌던 것입니다.
"ChatGPT를 사용하여 일종의 더미 HTML 웹페이지를 만들 수 있었습니다. 허가 요청 후 이미지가 업로드될 때 위치 정보를 수집합니다." u/BumbleB3333은 해킹의 타당성을 확인하며 댓글을 남겼습니다. 또 다른 사용자 u/STOP_DOWNVOTING은 유사한 기능을 하도록 수정할 수 있는 "윤리적인 버전"의 코드를 생성했다고 주장했습니다.
댓글에서 자신을 AI 제품 관리자라고 밝힌 원글 작성자는 ChatGPT의 일부 안전 제한을 우회하기 위해 특정 프롬프트를 사용해야 했다는 사실을 인정했습니다. 그는 "적절한 프롬프트를 사용하여 이러한 가드레일을 우회하는 데 익숙합니다."라고 말하며, 해당 스크립트를 가상 사설 서버에 호스팅했다고 덧붙였습니다.
사이버 보안 전문가들은 이러한 "해킹 백(hacking back)"이 만족스럽기는 하지만, 법적으로 모호한 영역에서 운영되고 위험을 초래할 수 있다고 경고합니다. 그럼에도 불구하고, 꽤 유혹적이며, 관람객 입장에서는 만족스러운 스포츠가 될 수 있습니다.
