보안 취약점 찾아 공격까지 ‘미토스’ 등장…정부, 긴급보안 나서

정부 부처들이 지난해 2월 중국 인공지능 딥시크(Deepseek) 접속 차단에 대거 나선 가운데 서울 종로구 정부서울청사 사무실에서 공무원들이 업무를 보고 있다.ⓒ뉴시스

인공지능(AI) 보안 우려가 재점화되고 있다. 공표되지 않은 보안 취약점을 찾아 이를 공격하는 ‘클로드 미토스’(Claude Mythos)의 등장으로 사이버보안 시장이 흔들리고 있기 때문이다.

국내 AI 확산이 빠르게 이뤄지고 있는 가운데 전문가는 인간과 AI가 어떻게 협력해 나갈 것인지 고민해봐야 한다고 강조한다. 정부는 제로데이 취약점 탐지와 공격 가능성에 대비해 선제적 위협 관리에 나섰다.

‘클로드 미토스’ 등장…제로데이 공격 가능성

앤트로픽 로고.ⓒ앤트로픽

AI 스타트업 앤트로픽이 보안 취약점을 탐지하는 클로드 미토스 모델을 공개했다. 미토스는 코드 분석을 통해 아직 보안 패치가 존재하지 않는 제로데이 취약점을 식별하고, 이를 실제 공격에 활용할 수 있어 파장이 크다.

제로데이 공격은 보안 취약점이 발견됐을 때 해당 문제의 존재 자체가 널리 공표되기도 전 해당 취약점을 악용해 이뤄지는 공격을 의미한다.

일반적으로 취약점이 발견되면 제작자나 개발자가 이를 보완하는 패치를 배포하고, 사용자는 이를 통해 대처하는 것이 관례였다. 즉 대응책이 공표되기 전 공격이 이뤄져 대처 방법이 없다는 것이다.

현재 미토스는 일반에는 출시되지 않았으며 일부 기업에 미리보기(프리뷰)판을 먼저 제공하고 있다.

김형종 서울여대 지능정보보호학부 교수는 “해커만알 수 있는 취약점을 미토스도 찾아낼 능력이 있다는 것”이라며 “정부나 대기업, 금융권 서비스 등의 취약점을 미토스가 발견하게 되면 공격할 수 있게 된다. 취약점을 찾아낸 후 공개만 되어 있으면 제로데이 어택으로 이어질 수 있다”고 말했다.

버그 바운티 위태…“인간과의 협력 고민해봐야”

한국인공지능·소프트웨어산업협회 출입구에 인공지능기본법 지원데스크 현판이 걸려있다.ⓒ뉴시스

미토스의 등장 이전에는 버그 바운티(bug bounty)가 있었다. 이는 서비스, SW 등 정보 기술 인프라의 취약점을 발견해 신고하면 이에 대한 포상금을 지급하는 것으로, 취약점 신고 보상 프로그램이다.

1990년대 초, 넷스케이프(Netscape)사가 웹 브라우저 보안을 강화하기 위해 처음 도입했다. 외부 전문가도 활용해 내부에서 간과할 수 있는 보안 취약점을 효과적으로 발견할 수 있다는 장점으로 오랜 시간 보안 문제에 대응해왔다.

전문가는 미토스의 등장으로 누구나 서비스 등의 취약점을 찾아낼 수 있다는 점을 우려했다. 해킹 방어를 위한 기능이 공격에 사용되는 등 악용될 가능성도 있어서다.

최근 국내 AI 이용자도 증가하고 있어 불안감은 더 크다. 국내 AI 서비스 경험률은 70%에 육박한다. 14일 과학기술정보통신부의 ‘2025 인터넷이용실태조사 결과’에 따르면 지난해 7월 기준 AI 서비스 경험률은 67.0%다. 1년 전(60.3%) 대비 6.7%p 올랐다.

또 AI 서비스 활용 역량 및 윤리적 이용에 대해 설문한 결과, ‘알고리즘 편향성, 오정보, 프라이버시 침해 등 AI 기술이 갖는 위험성에 대해 알고 있다’는 응답이 47.3%로 가장 많았다. ‘AI 기술이 갖는 위험성을 고려해 AI 서비스·기기를 윤리적으로 올바르게 이용하고 있다’는 응답자는 38.0%였다. 이용자의 수와 비교하면 큰 편차를 보이고 있다.

김형종 교수는 “인간의 역할을 미토스가 대신하면 그만큼 고성능의 지능을 누구나 갖게되는 것이고, 보편적인 사람들도 할 수 있게 된다는 의미”라며 “누구나 미토스 모델을 활용해 취약점을 찾을 수 있고, 취약점을 악용하기 쉬운 스크립트를 바로 사용할 수 있는 코드를 만들 수 있다”고 우려했다.

미토스의 등장은 최근 도마에 오른 AI 보안의 문제와 이를 다루는 개발자들의 일자리도 위태롭게 만들 수 있다.

전문가는 미토스의 등장을 기점으로 인간과 AI의 협력 관계를 고려해야 할 시점이라고 강조한다.

김 교수는 “미토스와 같은 모델을 보면서 보안 전문가 역시 직업 안정성에 대한 고민을 하게 된 상황”이라며 “결국 인간과 AI가 어떤 방식으로 협력할 것인지에 대한 고민이 필요하다”고 말했다.

그러면서 “AI가 점점 고도화됨에 따라 AI를 개발하는 이들은 처음부터 인간과의 협력 관계를 고려해야 한다. 보안 업계 역시 인간이 담당해야 할 영역과 AI가 해야할 영역의 경계를 다시 정의하고, 이에 맞는 역할 분담을 고민해야 할 시점”이라고 덧붙였다.

정부, 기술 동향 주시·보안강화 노력 당부

과학기술정보통신부 전경.ⓒ데일리안DB

정부는 긴급 현안점검회의를 열고 대책을 논의했다.

과학기술정보통신부는 이날 엔트로픽 등이 최신 AI모델을 사이버보안에 활용하는 프로젝트를 출범한 것과 관련해 긴급 현안점검회의를 개최했다.

과기정통부는 각 기업 정보보호 최고책임자(CISO)에 AI를 활용한 보안 위협에 주의하고 각사별로 긴급 보안점검을 실시할 것을 당부하는 한편, AI를 활용한 특이 공격 발생 시 한국인터넷진흥원과 상황을 공유할 것을 요청했다.

또 류제명 제2차관 주재로 통신 3사, 네이버, 카카오, 우아한형제들, 쿠팡 등 주요 플랫폼사 정보보호 최고책임자와 긴급 현안점검회의를 열고 AI 고도화에 대한 사이버보안 대비태세 점검과 보안 체계 변화 동향을 예의주시하도록 당부했다.

아울러 국내 AI 보안전문가와 현안점검회의를 통해 해당 프로젝트와 AI 보안서비스의 내용 및 수준, 국내에 미치는 영향 등에 대해 전문가의 의견을 청취했다.

배경훈 부총리 겸 과기정통부 장관은 “우리나라 기업, 기반시설 등이 위협에 노출되지 않으면서 동시에 사이버 보안 역량을 향상시킬 수 있어야 할 것”이라며 “민·관이 합동으로 우리나라의 사이버 보안 생태계 고도화를 위해 노력하자”고 당부했다.