생성형 인공지능(AI)이 사이버보안 영역에서 기존보다 빠른 속도로 취약점을 찾아내고 공격 가능성까지 보여 주면서 정부가 대응 체계 재정비에 나섰다.
전문가들은 AI가 완전히 새로운 해킹 수법을 만들어내기보다, 기존 해킹의 속도와 규모를 키우는 방향으로 사이버보안 지형을 바꾸고 있다고 진단했다.
보안특위 등 가동…AI 시대 보안 재정비 착수
19일 정부와 업계에 따르면 과학기술정보통신부는 최근 통신 3사와 플랫폼사, 정보보호 기업, 주요 기업 정보보호최고책임자(CISO)들을 잇달아 만나 '클로드 미토스' 대응 방향 등을 논의했다.
미토스는 앤트로픽이 개발한 보안 특화 AI 모델이다. 오래된 소프트웨어 보안 취약점을 찾아내고 악용 가능성까지 분석할 수 있는 것으로 알려지면서, 보안 업계 안팎에서는 이러한 기능이 실제 공격에 활용될 수 있다는 우려가 제기되고 있다.
과기부는 지난 15일 국내 주요 정보보호 기업 간담회와 주요 기업 40개사 CISO 간담회를 연이어 개최했다. 이에 앞서 14일에는 통신 3사와 네이버, 카카오, 쿠팡, 우아한형제들 등 주요 플랫폼사 CISO, AI 보안 전문가들과 릴레이 현안 점검 회의를 진행했다.
회의에서는 제로트러스트 확산과 공급망 보안 강화 필요성이 집중적으로 거론됐다. 한국정보보호산업협회 등 업계는 AI로 인한 보안 위협을 상수로 전제하고, 기업과 기관 전반에 제로트러스트 보안 체계가 확립돼야 한다고 강조했다.
또 소프트웨어 공급망 보안 강화와 중소기업 보안 격차 해소에도 정부 역할이 필요하다고 요청했다. 제로트러스트는 내부망 이용자라도 기본적으로 신뢰하지 않고 접속 주체와 기기, 권한을 지속적으로 검증하는 보안 체계다.
국가 차원의 논의도 시작됐다. 국가인공지능전략위원회는 지난 16일 보안특위 1차 정례회의를 열고 '앤트로픽 클로드 미토스' 동향과 금융 분야 설치형 보안 소프트웨어의 단계적 철폐 계획을 함께 논의했다. 위원회는 최근 생성형 AI와 AI 에이전트 고도화가 사이버보안 지형을 근본적으로 변화시키고 있다고 진단했다.
특히 27년간 발견되지 않았던 취약점을 미토스가 탐지한 사례를 언급하며 위협 수준과 국내 대응 역량, 기업 및 전문가 의견 등을 점검했다고 설명했다.
이원태 보안특위 위원장은 "이제 사람이 아닌 AI가 새로운 해킹의 주도권을 갖는 시대가 도래했다"며 "기존 보안 정책을 기술 진화 속도에 맞춰 변화시키지 못한다면 결국 보안이 AI 대전환과 AI 강국 도약의 걸림돌이 될 것"이라고 밝혔다.
"새 해킹보다 확산 속도가 문제"…전문가들 경고
전문가들은 미토스를 사이버보안 환경 변화의 신호로 보고 있다. 이를 계기로 기존 보안 체계의 한계가 부각되고, 해킹과 방어 방식 모두 변화할 수 있다는 것이다.
독일 카를스루에 공대(KIT)에서 암호학과 보안을 연구하는 외른 뮐러-콰데 교수는 AI가 사이버 공격의 진입 장벽을 낮출 수 있다는 점에 주목했다. 그는 "앞으로 사이버 공격은 AI로 인해 지금과는 전혀 다른 방식으로 확산될 가능성이 크다"며 "기존에는 보안 취약점을 찾으려면 높은 수준의 전문성이 필요했지만, 이제는 AI가 그 과정을 한층 쉽게 만들면서 비전문가도 공격에 접근할 수 있는 환경을 만들 수 있다"고 말했다.
이어 "특히 오랫동안 발견되지 않았던 보안 취약점을 AI가 찾아낸 점은 인상적"이라며 "이제는 취약점이 드러난 뒤 뒤늦게 막는 방식에서 벗어나, 소프트웨어 개발 초기 단계부터 품질과 안전성을 함께 확보해야 한다"고 지적했다.
독일 막스플랑크 보안·프라이버시 연구소의 토르스텐 홀츠 과학디렉터는 AI가 공격과 방어 모두의 속도를 끌어올리고 있다고 진단했다. 그는 "핵심은 새로운 해킹 수법의 등장 여부보다 기존 해킹이 AI로 인해 훨씬 빠르고 대규모로 확산될 수 있다는 점"이라고 강조했다.
그러면서 "오랫동안 점검된 소프트웨어에서 새로운 취약점이 발견됐다는 점은 그 자체로 의미가 있다"며 "AI가 기존 방식보다 더 정밀하게 보안 허점을 찾아낼 수 있다는 것을 보여준다"고 말했다. 다만 "미토스가 어떤 취약점에 강점을 보이는지, 한계는 무엇인지에 대해서는 추가적인 검증이 필요하다"고 덧붙였다.
앤트로픽은 미토스 공개 이후 보안 우려를 반영해 사이버 기능을 제한한 새 모델 '오퍼스 4.7'을 지난 16일 공개했다. 해당 모델은 미토스 미리보기보다 기능이 일부 제한된 대신, 해킹 등 위험성이 높은 요청을 탐지·차단하는 안전장치를 강화했다.
다만 앤트로픽은 장기적으로 미토스급 모델의 일반 출시를 목표로 하고 있어 관련 논의는 계속될 전망이다.
오픈AI도 최근 보안 취약점 탐지에 특화된 'GPT-5.4-사이버' 모델을 공개했지만, 일반 공개 대신 검증된 보안 전문가와 기관에 한해 제한적으로 제공하기로 했다.
미국 정부 역시 앤트로픽 모델의 공공부문 활용 가능성을 검토하는 등, 미토스 이후 AI 보안 역량을 둘러싼 각국 정부와 산업계의 대응이 본격화하는 모습이다.