AI 보안동맹 '글래스윙' 못들어간 韓… 7월 골든타임 놓칠라

(1) 미토스 쇼크
미토스 27년 방어벽 단시간내 뚫어
금융권 등 국가 인프라 마비 우려
국가 주도 긴급 패치 등 대응 시급

인공지능(AI)의 진화 속도가 인간의 예상치를 빠르게 앞지르고 있다. 효용도 크지만 악용하거나 인간의 통제범위를 벗어날 경우 피해 규모 역시 상상을 초월하는 수준이다. AI가 인간의 필수 도구가 되면서 이용료와 인프라 유지비용 부담도 기하급수적으로 커질 것으로 보인다.

파이낸셜뉴스는 AI가 가져온 효율성 이면에 숨은 위험성을 직시하고자 'AI의 역습'이라는 주제로 시리즈를 기획했다.

미국의 인공지능(AI) 기업 앤스로픽이 개발한 사이버 보안 특화 AI 모델 '미토스(Mythos)'가 불러온 이른바 '미토스 쇼크'에 불안감이 확산되고 있다. AI가 단순한 코딩 도구나 취약점 분석 보조 장치를 넘어서 해킹 공격 주체로 전환되면서 대응 전략을 재정립해야 한다는 목소리가 커지고 있다.

■"7월까지가 '골든타임'

26일 정보기술(IT) 업계에 따르면 AI대 AI 경쟁 구도에서 기존 보안 패러다임을 벗어나 인프라 재설계뿐 아니라 이에 필요한 정부 차원의 법·제도 개편이 시급하다는 데 전문가 의견이 모이고 있다. 지난 23일 PwC컨설팅이 유동수 더불어민주당 의원과 공동으로 연 좌담회에서 이상근 고려대 AI 보안연구소장은 "미토스 관련 취약점 정보가 대대적으로 공개될 것으로 예상되는 7월 초까지가 '골든타임'"이라며 "국가정보원 주도로 운영체제(OS)·브라우저·오픈소스 전반에 대한 긴급 패치 지침을 마련해야 한다"고 말했다.

보안체계 재설계와 함께 대응체계까지 통합해야 한다는 제언도 나왔다. 이성엽 고려대 교수는 "사이버 보안 거버넌스를 효율화하고 통합하는 방향이 필요하다"며 "공격하는 AI가 부처별로 따로 공략하는 것이 아닌데, 대응을 나눠서 하는 건 적절하지 않다"고 지적했다.

특히 금융업계가 여러 산업 분야 중 미토스 쇼크에 가장 민감한 상황이다. 금융권이 특히 긴장하는 이유는 금융 시스템이 오래된 레거시 코드 위에 수십년간 패치를 쌓아 올리며 발전한 특성에 있다. 사람이 미처 인지하지 못한 오래된 코드의 취약점을 미토스가 찾아낸다면 국가 인프라 전체가 마비될 수 있기 때문이다.

앤스로픽이 최근 공개한 '미토스'는 코딩·추론·사이버보안 등 영역에서 압도적인 성능을 보이며 취약점 탐지를 넘어 실제 공격 코드 생성까지 가능한 모델로 알려졌다. 고작 2만달러(약 2750만원) 비용으로 27년간 수많은 전문가가 코드를 감사하고 공격을 시도하며 만들어 놓은 방어선을 AI가 단기간에 뚫어내고, 샌드박스 탈출(격리 환경 탈출) 등 자율 해킹 가능성까지 확인되면서 우려가 커지자 앤스로픽은 일반 공개를 중단했다.

■'프로젝트 글래스윙' 들어가야

현재 앤스로픽은 구글, 애플, 아마존웹서비스(AWS), JP모건 등 40개 기업·기관 등에 한정한 모델 조기접근 프로그램 '프로젝트 글래스윙'을 운영하면서 미토스에 대한 제한적 접근을 허용하고 있다. 다만 이 정보가 연합체 내부에만 제한적으로 공유되는 폐쇄적인 형태라 글래스윙에 초대받지 못한 국가나 기업은 최신 사이버 보안 공급망에서 배제될 수 있다는 우려가 나온다.

우리 정부도 대응에 나서고 있지만 프로젝트 글래스윙에 한국 기업이 포함되지 않으면서 뚜렷한 방안을 마련하지 못한 상황이다.

정부는 기업 네트워크와 외교 채널을 통해 추가 접촉을 시도하고 있는 것으로 알려졌다. 과학기술정보통신부는 미토스 공개 직후 통신 3사와 주요 플랫폼, 금융·제조·의료 기업 최고정보보호책임자(CISO)를 긴급 소집해 연속 회의를 진행했으며, 국가안보실도 민관군 합동 대응을 주문했다.

wongood@fnnews.com 주원규 기자