🔎 핵심만 콕콕
- 앤트로픽의 AI 모델 '미토스'가 최고 수준의 보안 탐지 능력으로 화제가 됐습니다.
- 여러 취약점을 조합한 공격 코드를 자율 생성할 수 있어, 사이버 공격 확대 우려도 커지는데요.
- 미국·영국 정부가 긴급 대응 태세에 돌입한 가운데, 국내에서도 보안 체계 고도화가 시급한 과제로 떠오릅니다.
보안의 판도를 바꾸는 AI, 미토스의 등장
💪 "너무 강력해서 공개할 수 없다": 미국 AI 기업 앤트로픽이 최첨단 AI 모델 미토스(Mythos)를 일부 기업에만 제한적으로 공개했습니다. 앤트로픽은 미토스가 지금까지 개발한 AI 모델 중 가장 강력하다고 평가했는데요. 특히 소프트웨어 보안 취약점을 탐지하고, 이를 악용할 수 있는 공격 코드까지 자율적으로 생성하는 능력이 최고 수준의 전문가를 뛰어넘는 수준에 도달했다는 게 앤트로픽의 설명입니다. 해커나 범죄 집단이 악용할 위험이 크다는 이유로 일반 공개를 하지 않겠다고 말하기도 했죠.
🏢 빅테크 참여 프로젝트 출범: 앤트로픽은 미토스를 활용한 보안 프로젝트 글래스윙(Glasswing)을 출범했습니다. 구글, 애플, 아마존, 마이크로소프트, 엔비디아, JP모건체이스, 팔로알토 네트웍스 등 12개 빅테크 기업과 40여 개 기관이 초기 멤버로 참여했는데요. 이들은 미토스를 활용해 자사 소프트웨어와 시스템의 핵심 취약점을 찾아 수정하고 있으며, 앤트로픽은 그 결과를 산업 전반에 공유하기로 했습니다. 방어자가 먼저 우위를 점할 수 있도록 시간을 주겠다는 전략입니다.
🔍 27년 숨은 버그도 단번에 발견: 미토스의 성능은 수치로도 증명됐습니다. 세계에서 가장 강력한 보안을 자랑하는 운영체제 오픈BSD(OpenBSD)에서 27년간 발견되지 않았던 치명적 결함을 찾아냈고, 널리 사용되는 영상 소프트웨어 'FFmpeg'에서는 16년 된 취약점도 적발했는데요. FFmpeg의 경우 자동화 도구로 500만 회 이상 검사를 실행하고도 놓쳤던 결함이라는 점에서 더욱 눈에 띄죠. 미토스가 이 버그를 찾아내는 데 든 비용은 단돈 50달러(약 7만 원) 미만에 불과했다고 합니다.
단순 탐지를 넘어 자율 공격까지
🔗 취약점 연결하는 능력이 핵심: 보안업계 관계자가 꼽는 미토스의 차별점은 버그를 찾아내는 데 그치지 않고, 여러 취약점을 연결해 복잡한 시스템에 침투할 수 있는 강력한 공격 코드를 만들어낸다는 겁니다. 앤트로픽이 공개한 자료에 따르면 미토스는 4개의 취약점을 조합해 시스템을 장악할 수 있는 방법을 자율적으로 생성했는데요. 과거에는 고급 해킹 기술과 전문 인력이 필요했던 작업을 비전문가도 AI로 손쉽게 해낼 수 있게 된 셈입니다.
⏳ 공격 속도 급상승: 미토스는 속도 측면에서도 새로운 국면을 열었습니다. 기존에는 전문가가 취약점을 발견하고 악용 가능성을 분석한 뒤 기업에 보고하고 패치를 개발하기까지 수개월이 걸렸는데요. 미토스 같은 AI는 이 과정을 획기적으로 단축할 수 있다는 점이 특징입니다. 이에 따라 해커와 사이버보안 기업 간의 오랜 ‘군비 경쟁’이 핵전쟁 수준으로 격화했다는 진단까지 나옵니다.
🎈 과장 마케팅이라는 시각도: 다만 일부 전문가는 앤트로픽의 주장을 곧이곧대로 받아들여서는 안 된다고 경고합니다. 앤트로픽이 공개한 자료에는 오탐률(실제로는 문제가 없는데도 오류나 위험으로 잘못 판단하는 비율) 등 핵심 검증 정보가 충분히 제공되지 않았다는 건데요. 올해 기업공개(IPO)를 앞둔 앤트로픽이 미토스를 기업가치를 높이기 위한 마케팅 전략으로 활용한다는 주장도 나옵니다. 경쟁사 오픈AI도 투자자 메모에서 앤트로픽이 미토스를 대중에게 공개하지 못한 진짜 이유는 연산 자원 부족 때문이라고 지적하기도 했죠.
미국 정부 비상, K-보안도 안전지대 아니다
🚨 미국·영국, 긴급 대응 태세 가동: 미토스의 등장에 미국과 영국 정부는 발 빠르게 움직였습니다. 미국 백악관은 JD 밴스 부통령과 스콧 베센트 재무장관이 참석한 가운데 주요 기술·금융 업계 경영진을 소집해 사이버 공격 대응 방안을 논의했는데요. 션 케언크로스 국가사이버국장을 사령탑으로 세우고 국가 핵심 기반 시설의 보안 취약점 파악과 AI 기반 공격 차단에 나섰습니다. 영국도 중앙은행(BoE)과 금융행동감독청(FCA), 재무부가 국가사이버보안센터(NCSC) 및 대형 은행들과 논의를 거친 뒤, 향후 2주 내 금융권 대상 긴급 브리핑을 진행할 예정이죠.
🇰🇷 K-보안, 레거시 탈피가 급선무: 국내 보안 업계에도 비상이 걸렸습니다. 전문가들은 국내 주요 시스템 상당수가 10~20년 전 설계된 구조를 기반으로 운영되는 터라, AI 기반 분석 환경과 괴리가 크다고 지적하는데요. 글로벌 빅테크가 막대한 투자로 AI 보안 기술을 고도화하는 반면, 국내 업체는 상대적으로 제한된 자원 속에서 경쟁해야 하는 상황입니다.