'미토스' 무단 접근 사고…글로벌 IT '마스터 키' 유출 위기

[서울=뉴시스] 신효령 기자 = 미국 인공지능(AI) 전문기업 앤트로픽의 차세대 인공지능(AI) 모델 '미토스'가 공개 직후 무단 접근 사고에 노출된 것으로 드러났다.

전 세계 보안 시장을 구원할 '게임 체인저'로 기대를 모았던 미토스가 오히려 보안 사고 진원지가 돼 전세계 IT 업계에 충격을 주고 있다. 보안을 강화하기 위해 탄생한 AI가 역설적으로 가장 위험한 보안 위협이 된 셈이다.

21일(현지시간) 영국 가디언 등 외신들은 권한이 없는 외부 사용자들이 앤트로픽의 내부 시스템을 통해 미토스 모델에 접근한 정황이 드러났다고 보도했다.

이번 사고는 앤트로픽이 미토스 모델의 강력한 성능 때문에 일반 공개를 거부하고, 철저히 통제된 환경에서 '프로젝트 글래스윙'이라는 이름으로 극소수 파트너사에게만 제공하던 와중에 발생했다.

더 해커 뉴스의 분석에 따르면, 공격자들은 앤트로픽의 외부 벤더 환경에서 발생한 취약점을 파고들어 내부 시스템 인터페이스에 접근했다. 이들은 비공개 온라인 커뮤니티를 통해 접근 권한을 공유하거나 확보한 것으로 알려졌다. 이를 통해 모델의 작동 방식과 일부 핵심 데이터에 접근한 정황이 포착됐다.

미토스는 앤트로픽이 "너무 강력해 일반 공개할 수 없다"며 대중 공개 불가 결정을 내린 모델이다. 앤트로픽에 따르면 미토스는 보안이 가장 견고하다고 알려진 '오픈BSD(OpenBSD)'의 버그를 단숨에 찾아냈다.

인간의 개입 없이 수천 개의 치명적 결함을 자율적으로 발견하는 AI의 등장은 보안 업계에 공포에 가까운 충격을 안겼다. 이런 모델이 무단 접근에 노출됐다는 것은, 역설적으로 해커들이 이 모델을 이용해 전 세계 IT 인프라의 '마스터 키'를 쥐게 될 수도 있다는 공포를 불러일으키고 있다.

현재까지 확인된 바에 따르면, 무단 접근 사용자들이 미토스를 악용한 정황은 발견되지 않았다. 전문가들은 "문제의 본질은 악용 여부가 아니라 접근 자체가 가능했다는 사실"이라고 지적한다. 특히 미토스는 기존 AI보다 훨씬 높은 수준의 취약점 탐지 능력을 갖고 있어, 단 한 번의 접근만으로도 대규모 공격 준비가 가능하다는 우려가 제기된다.

보안 전문가들은 이번 사고를 단순한 데이터 유출 사고와 결을 달리하는 사이버 국가 비상사태급 위기로 규정하고 있다. 미토스가 학습한 수천 건의 미공개 취약점 정보가 유출되었을 가능성 때문이다. 만약 미토스의 취약점 탐지 로직이 악의적인 해커 그룹이나 적대적인 국가 배후 세력의 손에 들어갔다면 전 세계의 서버, 클라우드, 개인 기기들은 사실상 방어 불능 상태에 놓이게 된다.

한 사이버 보안 전문가는 "이것은 마치 핵무기 설계도를 도둑맞은 것과 같다"며 "미토스가 찾아낸 구멍들은 아직 패치가 나오지 않은 것들이 대부분이라, 공격자가 이를 악용해 역설계 공격을 감행하면 현존하는 그 어떤 방화벽도 무용지물이 될 것"이라고 경고했다.

앤트로픽 "핵심 로직은 안전하나 침입 사실은 인정"

사고 인지 직후 앤스로픽은 즉각 미토스 모델의 외부 연결을 전면 차단하고 시스템 가동을 일시 중단했다. 앤스로픽 측은 입장문을 통해 "핵심 로직과 가중치는 안전하게 보호되고 있으며, 실제 데이터 유출 규모는 제한적"이라고 해명하며 진화에 나섰다.

현재 앤스로픽은 미국 연방수사국(FBI) 및 사이버보안·인프라보안국(CISA)과 협력해 정밀 포렌식 수사를 진행하며 침입 경위와 배후 세력을 추적 중이다.

미국 행정부 역시 사태의 심각성을 인지하고 긴박하게 움직이고 있다. 백악관 국가안보회의(NSC)는 이번 사건이 국가 안보에 미칠 영향을 평가하기 위해 긴급회의를 소집한 것으로 알려졌다. 고성능 AI 모델이 국가 전략 자산으로 분류되는 시점에서 발생한 이번 유출 사고는 AI 규제 및 보호법안 입법에 영향을 미칠 전망이다.


◎공감언론 뉴시스 [email protected]