괴물 AI 등장에 글로벌 보안 체계 비상

괴물 AI 등장에 글로벌 보안 체계 비상

27년간 잠복한 ‘버그’ 발견한 AI
유례없는 능력에 대중 공개 보류
 

앤트로픽의 고성능 인공지능(AI) 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’가 글로벌 사이버보안 판을 뒤흔들고 있다. 소프트웨어의 보안 취약점을 자율적으로 탐지해 공격 코드까지 만들어내는 능력이 확인되면서, 국가 핵심 인프라와 금융망이 해킹 위협에 노출될 수 있다는 우려가 커지고 있기 때문이다.

ⓒPixabay

금융 넘어 국가 안보까지 위협 우려
앤트로픽에 따르면 미토스는 보안이 가장 견고하다고 알려진 ‘오픈BSD’에서 27년간 발견되지 않은 설계 결함을 파악한 뒤 원격 시스템 마비(DoS) 공격까지 시연해 냈다. 16년 전 개발된 영상 처리 소프트웨어의 로직 결함 역시 이 AI의 탐지망을 피하지 못했다.

  수치로 입증된 성능은 더 위협적이다. 초고난도 추론 평가(HLE)에서 외부 도구 지원 없이도 정답률 56.8%를 기록했으며, 보안 평가 플랫폼 ‘사이버짐’에서는 83.1%의 높은 확률로 취약점 재현에 성공한 것으로 전해졌다. 인간 해커가 알려지지 않은 취약점을 발굴해 무기화하는 데 소요되던 수개월의 시간을 단 몇 시간 단위로 압축한 셈이다. 영국 AI 보안연구소(AISI)는 독자 평가에서 미토스가 전문가급 사이버 침투 과제의 73%를 성공했다고 밝혔다.


  파장이 커지자 앤트로픽은 미토스의 대중 공개를 전격 보류했다. 대신 아마존웹서비스(AWS)와 마이크로소프트(MS), 구글 등 12개 빅테크와 40여 개 주요 인프라 기업에만 모델을 제공하는 ‘프로젝트 글래스윙(Glasswing)’ 방어 연합을 구축했다. 최대 1억 달러의 모델 사용 크레딧과 400만 달러의 오픈소스 보안 기부금도 투입된다. 클라우드·운영체제·반도체·금융·오픈소스를 아우르는 참여사 구성이 보여주듯, 인공지능 모델을 ‘제품’이 아닌 ‘보안 공공재’로 공유 및 통제하는 구조다.


  한편 다리오 아모데이 앤트로픽 최고경영자(CEO)는 도널드 트럼프 행정부의 수지 와일스 비서실장, 스콧 베센트 재무장관과 회동했다. 미국 정부가 앤트로픽을 ‘공급망 위험기업’으로 지정하고 연방기관 사용 중단을 명령한 지 약 두 달 만에 이뤄진 고위급 접촉이다. 백악관은 회동 직후 성명을 내고 “협력 기회와 이 기술 확장과 관련된 도전 과제를 해결하기 위한 공동 접근법·프로토콜을 논의했다”며 “회동이 생산적이고 건설적이었다”고 밝혔다. 실제 이후 트럼프 미국 대통령이 앤트로픽의 인공지능(AI) 모델을 국방부에서 활용하는 방안을 논의 중이라고 밝히며 미 국방부와 앤트로픽 간 갈등도 완화 국면으로 접어드는 분위기다.


 

과학기술정보통신부는 최근 통신 3사와 플랫폼사, 정보보호 기업, 주요 기업 정보보호최고책임자(CISO)들을 잇달아 만나 ‘클로드 미토스’ 대응 방향 등을 논의했다. ⓒ과학기술정보통신부

긴급 대응 나선 정부
이처럼 미국 정부를 비롯한 각국 정부와 금융기관 등은 대응 전담팀을 구성하며 비상 상황에 들어갔다. 한국 정부 역시 주요 정보보호 기업과 간담회를 열었다. 과학기술정보통신부는 최근 통신 3사와 플랫폼사, 정보보호 기업, 주요 기업 정보보호최고책임자(CISO)들을 잇달아 만나 ‘클로드 미토스’ 대응 방향 등을 논의했다. 국가인공지능전략위원회도 보안특위 1차 정례회의를 열고 ‘앤트로픽 클로드 미토스’ 동향과 금융 분야 설치형 보안 소프트웨어의 단계적 철폐 계획을 함께 논의했다.


  전문가들은 미토스를 사이버보안 환경 변화의 신호로 보고 있다. 이를 계기로 기존 보안 체계의 한계가 나타나고 해킹과 방어 방식 모두 변화할 수 있다는 것이다. 실제 미토스를 사용하면 사이버 공격이 너무 쉬워진다. AI가 보안 취약점을 손쉽게 찾아내 금융 시스템을 장악하거나 데이터를 탈취할 수 있게 되면 비전문가도 마음만 먹으면 대규모 공격을 수행할 수 있게 되는 셈이다. 특히 금융 인프라는 거래와 결제, 자산 관리 등 시스템이 연결된 구조이기 때문에, 한 곳만 공격받아도 광범위한 운영 장애로 이어지게 된다. 대규모 해커 집단이나 특정 정부가 악용할 시 개별 기업을 넘어 국가 안보 위협으로도 이어질 수 있다.


  업계에선 미토스를 막기 위해 보안에도 AI를 적용해야 한다고 본다. 사람의 대응 속도로는 AI의 해킹 속도를 따라갈 수 없어서다. 미국 클라우드보안연합(CSA)은 미토스 사태를 ‘AI 취약점 폭풍’이라고 규정하면서 “해커가 공격하기 전 AI 에이전트를 통해 프로그램이나 코드에 빈틈이 없는지 지금 당장 점검해야 한다”고 했다. AI가 뚫고, 이를 AI가 막는 AI 해킹 시대가 본격적으로 도래한 것이다. 튜링상 수상자로 AI 대부로 꼽히는 요슈아 벤지오 몬트리올대 교수는 국제 협력 강화를 촉구하면서 “고급 AI 기술을 감독·관리하는 FDA(미국 식품의약국)와 유사한 강력한 규제 기구 설립이 필요하다”고 제안했다.


  다만 미토스 충격이 과장됐다는 비판도 함께 제기된다. 얀 르쿤 뉴욕대 교수는 “미토스를 둘러싼 드라마는 자기기만에서 비롯된 허구일 뿐”이라고 했다. 샘 올트먼 오픈AI CEO도 한 팟캐스트에 출연해 “세상에는 AI를 소수의 손에만 두기 원했던 사람들이 있다. 그들의 방식은 공포 마케팅”이라며 앤스로픽을 비판했다.

이슈메이커 손보승 기자 rounders23@issuemaker.kr