"30년 보안성벽, AI에겐 1분짜리 퍼즐"… 전세계 금융·안보 '초비상'

'미토스'·GPT-5.4 등장에 전세계 긴장…한·미 정부 긴급 회의 소집 미토스 등 자율형 AI 해킹 현실화 우려…AI 악용 시 금융·국가 인프라 "패치 중심 대응 한계…보안 체계 전면 재설계·자동화 전환해야"

[뉴욕=AP/뉴시스] 한 컴퓨터 화면에 나와 있는 앤트로픽 웹사이트 페이지와 회사 로고. 2026.04.13.

[서울=뉴시스]윤정민 기자 = #1. 지난 7일(현지 시간), 미국 워싱턴 D.C에서는 이례적인 장면이 연출됐다. 스콧 베센트 재무장관과 제롬 파월 연준(Fed) 의장이 씨티그룹, 모건스탠리, 골드만삭스 월가 금융권 CEO들을 긴급 소집한 것이다. 같은 시각 제이디 밴스 부통령은 구글, 마이크로소프트(MS), 오픈AI 등 빅테크 수장들과 비공개 전화를 돌렸다.

이들을 움직이게 한 것은 단 하나, 앤트로픽이 공개한 보안 특화 인공지능(AI) '클로드 미토스(Claude Mythos)' 때문이다.

#2. 우리 정부도 비상이 걸렸다. 지난 14일 청와대 국가안보실이 민·관·군 관계 부처에 AI 기반 사이버 위협 대응 체계 점검을 주문했다. 국가AI전략위원회도 과학기술정보통신부, 금융위원회 등 관계 부처와 함께 보안특별위원회를 갖고 다음 회의까지 부처별 대책안을 마련해 달라고 당부했다. 금융위원회와 과기정통부도 각각 금융권과 이동통신 3사, 플랫폼, 보안기업들과 긴급회의를 열고 대책을 논의했다. 전 세계 보안 당국이 발칵 뒤집힌 것이다.

◆낡은 금융망·국가 기간시설 '풍전등화'

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.04.03. *재판매 및 DB 금지

미국·이스라엘과 이란 전쟁이 채 끝나지도 않은 상황에서 전 세계 보안 당국이 난리난 이유는 '미토스'의 가공할 만한 위력 때문이다. 금융망을 비롯한 기존 국가 기간망이 한순간에 무용지물이 될 수 있다는 공포가 확산되고 있다.

앤트로픽 '미토스', 오픈AI 'GPT-5.4 사이버' 등 '자율형 AI'는 스스로 공격 경로를 짜고 코드까지 만든다. 실제로 '미토스'는 기존 소프트웨어에서 수천 건의 신규 취약점(제로데이)을 찾아내 공격 코드로 연결하는 능력을 증명했다.

오픈AI는 모델을 공개하며 "30년 된 보안 체계도 AI에게는 1분짜리 퍼즐에 불과하다"고 말했다. 인간의 속도로는 도저히 따라잡을 수 없는 '초격차' 분석 능력을 과시한 것이다.

가장 큰 타격이 예상되는 곳은 금융권이다. 결제·송금 등 핵심 금융 시스템이 중단 없이 운영돼야 하는 구조적 특성상 공격이 현실화될 경우 파급력이 클 수 밖에 없다. 전 세계 금융망과 산업 인프라 대부분은 1990년대~2000년대에 구축된 구조 위에 살을 붙여온 '레거시(Legacy)' 인프라다.

그동안은 시스템이 워낙 복잡하고 폐쇄적이어서 사람이 침투하기 어려웠지만, 방대한 데이터를 한꺼번에 분석하는 AI에게 이런 복잡함은 오히려 '숨겨진 구멍(취약점)'을 찾기 좋은 놀이터일 뿐이다. 기존에는 사람이 접근 가능한 영역부터 추적하며 취약점을 찾았다면 AI는 방대한 코드와 시스템을 동시에 분석해 인간이 놓친 취약점까지 집요하게 파고들 수 있다.

자율해킹 AI 등장은 국가 안보에서 상당히 위협적이다. 원전, 전력망, 국방망 등 폐쇄망 내에서 작동하는 소프트웨어들 역시 '오래된 견고함'이 이제는 '고착된 취약점'으로 변질될 수 있다. ‘GPT-5.4 사이버’ 등이 보여준 바이너리 역공학(실행 파일만으로 내부 구조를 파악하는 기술) 능력은 소스 코드가 없는 폐쇄형 시스템까지 분석 가능한 대상으로 만들고 있다는 평가다.

◆AI가 무너뜨린 '보안 골든타임'…"보안 프로세스, 원점 재설계" 한목소리

이처럼 AI가 사이버 공격 주도권을 잡으면서 기존의 수동적 보안 패러다임을 버리고 보안 시스템 체계 전체를 원점에서 재설계해야 한다는 목소리가 커지고 있다. 기존 패치 중심 대응 체계는 공격자가 AI로 취약점을 공격하는 속도가 방어자의 대응 속도를 압도하는 구조적 한계를 지녔기 때문이다.

보안업계에서는 취약점이 발견된 뒤 실제 공격에 악용되기까지의 시간이 급격히 줄어든 점에 주목하고 있다. 윤두식 이로운앤컴퍼니 대표는 "과거에는 취약점 발견 후 공격까지 수개월의 여유가 있어 연 1~2회 패치로도 충분했다. 하지만 지금은 AI가 발견한 취약점이 수시간 내에 공격으로 바뀐다"고 말했다.

이어 "우리나라의 망분리 정책은 지난 20년간 큰 역할을 했지만 위협 속도가 근본적으로 바뀐 지금은 온프레미스(자체 전산실) 중심의 도입·운영 관행이 오히려 구조적 제약이 되고 있다"며 "국가망보안체계(N2SF)처럼 위험도에 따라 보안 수준을 차등화하는 등 유연한 체계로의 진화가 시급하다"고 강조했다.

이태진 가천대 스마트보안학과 교수는 17일 정보보호 컨퍼런스 'NetSec-KR'에서 "에이전틱 AI는 스스로 실행할 수 있고 외부 결합도 가능해 공격 표면이 어마어마하게 증가한다"며 전통적인 취약점 탐지 방식만으로는 한계가 있기 때문에 분석 대상에 맞춘 맞춤형 자동 진단 체계로 바꿔야 한다고 말했다.

김승주 고려대 정보보호대학원 교수는 단순한 기술 도입이 아닌 프로세스의 전면적 개편으로 바라봐야 한다고 강조했다. 김 교수는 "AI 공격에 대응해 AI 방어 기술을 개발하겠다는 식의 접근은 매우 일차원적인 생각"이라며 "이 문제는 기술 대응 차원을 넘어 전체 대응 프로세스를 어떻게 변화시킬 것인가의 문제"라고 말했다.

이어 "취약점을 찾고 자동 업데이트하는 연구는 이미 10년 전부터 진행돼 온 자연스러운 흐름이다.

AI모델(LLM)과 보안 특화 모델 등장으로 그 속도가 비약적으로 빨라진 것"이라며 "중요한 것은 이러한 변화를 각 기관이 얼마나 빠르게 조직의 보안 프로세스에 녹여내고 체질을 개선할 수 있느냐에 달렸다"고 강조했다.

정부도 전문가들 목소리에 공감하고 대응 마련에 나섰다. 배경훈 부총리 겸 과학기술정보통신부 장관은 최근 과학기술관계장관회의에서 "보안 수준이 획기적으로 향상될 수 있다는 기대감과 함께 수십 년 간 안전하다고 믿어왔던 보안 체계가 손쉽게 무력화될 수 있어 기존 체계 전환이 불가피하다"며 "정부는 이러한 상황을 엄중하게 인식하고 부처 간 긴밀한 협력을 통해 사회 전반의 흔들림 없는 사이버 보안 대비 태세를 유지하겠다"고 밝혔다.

☞공감언론 뉴시스alpaca@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>