"미토스 쇼크, 7월초까지 골든타임… 국가대응 시급"

사이버 보안 위기 긴급 좌담회
해커 2028년 분 단위 공격 가능
정보보호청 설립 등 통합 관리를

"산업 육성뿐 아니라 국가 리스크 관리로 AI 무게중심을 옮겨야 할 시점이다"

앤트로픽의 차세대 AI 모델 '클로드 미토스' 사태를 계기로, 국내 사이버 보안 대응 체계를 재설계해야 한다는 요구가 커지고 있다.

23일 오전 서울 영등포구 FKI타워에서 PwC컨설팅이 연 '프론티어 AI '미토스' 공개 보류 사태와 국가 및 기업 사이버 위기 대응 전략 긴급 좌담회'에서는 미토스 쇼크 이후 국가적 대응체계 전환이 필요하다는 지적이 쏟아졌다.

이날 좌담회에는 유동수 더불어민주당 원내 정책수석부대표, 임종인 김&장 법률사무소 고문, 이상근 고려대 AI 보안연구소장, 이성엽 고려대 기술경영전문대학원 교수, 임정규 과기정통부 네트워크 국장 등이 참석했다.

최장혁 삼일PwC AI 트러스트 위원장(전 개인정보위원회 부위원장)이 좌장을 맡아 패널토론을 진행했다.

기조발제를 맡은 이상근 고려대 AI보안연구소장은 "미토스의 출현으로 사이버 보안 자체가 무기화되는 국면에 진입했다"고 경고했다.

실제 위협의 구체성은 더 충격적이다. 미토스는 라우터·방화벽·VPN 장비에 주로 쓰이는 운영체제 OpenBSD에서 27년 된 버그를 찾아냈다. 이 소장은 보안 취약점 정보가 대대적으로 공개되는 7월 초까지를 '골든타임'이라고 강조했다.

미토스가 찾아낸 주요 보안 시스템에 대한 수천 건의 취약점은 '글래스윙' 정책에 따라 90일 후인 7월 초 전면 공개된다. 해커들이 공개된 취약점을 기반으로 실제 공격하는 시점은 2018년 평균 2.3년에서 현재 10시간 수준으로 단축된 상태다. 2028년께는 '분' 단위로 짧아질 것이라는 전망도 있다.

패널토론 좌장을 맡은 최장혁 삼일PwC AI 트러스트 위원장은 "AI 시대의 사이버 보안은 특정 부처나 산업의 문제가 아니라 국가 전체의 위험 관리 과제"라며 토론을 이끌었다.

이성엽 고려대 기술경영전문대학원 교수는 "한국처럼 여러 부처가 사이버 보안을 나눠서 하는 나라는 없다"며 "공격하는 AI가 부처별로 따로 공략하는 게 아닌데, 대응을 나눠서 하는 건 적절하지 않다"고 했다. 사이버 보안청 또는 정보보호청 설립 논의가 이번을 계기로 진전돼야 한다는 것이 그의 주문이다.

조윤주 기자