AI가 설계하는 공격 시나리오가 현실화되면서 사이버 보안의 판도가 뒤바뀌고 있다. 디지털데일리는 6회에 걸쳐 [미토스 충격] 기획기사를 통해 정부부터 산업 현장까지의 전방위적 대응 태세를 살피고, AI 위협 시대에 한국 보안 생태계가 나아가야 할 이정표를 제시한다.[편집자]

앤트로픽은 일반에 출시되지 않은 모델 '미토스(Mythos)' 프리뷰 판을 제공한다고 발표하며 사이버보안 이니셔티브 '프로젝트 글래스윙'을 추진했다. [사진=앤트로픽 홈페이지]

[디지털데일리 이상일기자] 앤트로픽(Anthropic)이 4월7일(현지시간) '클로드 미토스(Claude Mithos) 프리뷰'를 발표했다. 취약점 탐지를 넘어 익스플로잇 작성과 다단계 공격 경로 설계까지 가능한 AI 모델이다.

앤트로픽은 최근 수주간 주요 운영체제와 웹브라우저, 핵심 소프트웨어에서 수천 건의 제로데이 취약점을 찾아냈다고 밝혔다. 상당수는 인간 개입 없이 자율적으로 식별·악용할 수 있었다. 영국 AI보안연구소(AISI)는 미토스가 기존 프런티어 모델보다 한 단계 높은 사이버 역량을 보였고, 32단계 기업망 공격 시뮬레이션을 완주한 첫 모델이라고 평가했다.

앤트로픽은 미토스를 일반 공개하지 않았다. 아마존웹서비스(AWS), 애플(Apple), 구글(Google), 마이크로소프트(Microsoft), JP모건체이스(JPMorgan Chase), 리눅스재단(Linux Foundation), 팔로알토네트웍스(Palo Alto Networks) 등 12개 론칭 파트너와 40여개 핵심 소프트웨어 운영 조직에 먼저 제공하는 '프로젝트 글래스윙(Project Glasswing)'을 가동했다.

취약점을 먼저 찾아 고칠 시간을 방어자에게 주겠다는 구상이다. 최대 1억달러(약 1460억원) 크레딧과 400만달러(약 58억원) 규모 오픈소스 보안 기부도 함께 발표했다.

오픈AI(OpenAI)도 경쟁에 뛰어들었다. 2월 '트러스티드 액세스 포 사이버(Trusted Access for Cyber)'를 파일럿으로 시작한 데 이어 4월 14일 보안 특화 모델 'GPT-5.4-Cyber'를 공개했다. 검증된 보안 인력을 대상으로 접근 범위를 넓혔다. 정당한 방어 목적의 사이버 작업에 대해 거부 기준을 낮추고, 소스코드 없이 실행 파일을 분석하는 바이너리 역공학 기능도 지원한다.

미토스는 토큰(예산)을 많이 쓸수록 성능이 폭발적으로 상승하며, 타 모델이 멈춘 구간에서도 유일하게 최종 단계(32단계) 완주 가능성을 보여준다. 1억 토큰 도달 시 평균 22단계를 돌파하며, 2위인 Opus 4.6(16단계) 및 GPT-5.4(14단계)를 멀찌감치 따돌린 현존 최강의 공격형 모델이다. [사진=AISI]

해외 규제당국 반응도 빠르다. 로이터에 따르면 미국, 영국, 캐나다 금융당국은 이미 은행권과 관련 논의를 진행했다. 유럽중앙은행(ECB)도 은행들에 미토스 리스크를 질의할 준비에 들어갔다. 영국 정부는 15일 기업 리더들에게 공개서한을 보내 취약점 발굴과 익스플로잇 작성이 AI에 의해 속도와 규모의 문제로 바뀌고 있다고 경고했다.

국내 대응도 본격화됐다. 과학기술정보통신부는 14일 통신 3사와 네이버, 카카오, 쿠팡 등 주요 플랫폼 기업 최고정보보호책임자(CISO)를 소집해 긴급 현안점검회의를 열었다. 과기정통부는 각사 긴급 보안점검과 한국인터넷진흥원(KISA)과의 이상 징후 공유를 주문했다.

15일에는 한국정보보호산업협회 회원사와 통신·플랫폼사를 포함한 40개 기업 CISO 간담회로 논의를 확대했다. 금융위원회도 15일 금융감독원, 금융보안원, 은행·보험권 CISO를 긴급 소집해 리스크 점검에 나섰다.

국내 정보보호업계는 제로트러스트와 공급망 보안을 핵심 대응 방향으로 제시했다. 접근권한 최소화, 검증 강화, 소프트웨어 공급망 보호를 재편해야 한다는 주문이다. 중소기업 보안 격차 해소도 과제로 꼽힌다.

국내 보안기업들은 보안운영센터(SOC) 운영 자동화, 엔드포인트 탐지·대응(EDR) 에이전트, 공격표면관리, 다크웹 인텔리전스 등에서 AI 기반 방어 전환을 시도하고 있다. 다만 업계 현장 평가는 아직 완전한 자율형 방어 단계보다는 초기 도입 국면에 가깝다는 의견이 많다.

영국 AI보안연구소는 "향후 등장할 최첨단 모델들은 더욱 강력한 성능을 발휘할 것이므로, 지금 사이버 방어에 투자하는 것이 매우 중요하다. AI 기반 사이버 역량은 이중적 성격을 띠고 있다. 보안상의 과제를 야기하기도 하지만, 방위 분야에서 판도를 바꿀 만한 획기적인 발전을 이끌어낼 수도 있다"고 지적했다.

문제는 미토스가 결국 글로벌 AI기업의 기술이라는 점에서 향후 우리 나라 보안업계와 생태계에 미칠 파장이다.

과기정통부 관계자는 "앤트로픽이 글로벌 보안업계와 취약점 분석을 마치고 AI로 잡아낸 보안 위협을 해소한 이후도 문제"라며 "이를 바탕으로 한국의 보안 기업, 일반 기업을 대상으로 미토스를 통해 취약점 분석을 이유로 상용화에 나설 수 있다. 또 글로벌 보안업체들이 자체 취약점을 모두 잡은 상황에서 역으로 한국 보안 기업에 공세를 펼수도 있다"고 우려를 나타내기도 했다.