"애플 철통 빗장도 1초 만에 뚫었다"…'미토스 쇼크'에 한국형 보안 AI 띄운다

[서울=뉴시스]윤정민 기자 = 인공지능(AI)이 스스로 보안 취약점을 찾아내고 공격 경로를 검증하는 시대가 열렸다. 앤트로픽의 최신 AI 모델 '클로드 미토스'를 활용해 애플의 최신 칩 보안 장치를 무력화하는 해킹 코드를 만들었다는 실험 결과가 나오는 등 파장이 커지고 있다.

AI가 해킹 시나리오 짜는 수준을 넘어 실제 국가 방어 체계까지 위협하자 세계 각국 보안 당국의 움직임도 빨라졌다. 우리 정부 역시 조만간 AI 기반 사이버 위협에 대응하기 위한 정보보호 대책을 이르면 다음주 공개할 예정이다.

정부가 대책 마련을 서두르는 이유는 미토스 같은 고성능 AI가 기존의 보안 공식을 완전히 깨뜨리고 있어서다. 지금까지는 취약점이 새로 발견되면 기업과 기관이 이를 확인하고 보안 패치를 적용하는 수동적인 방식이었다.

하지만 AI가 사람이 모르는 취약점을 먼저 찾아내고 실제 공격 가능성까지 순식간에 검증하면서 방어자의 시간이 촉박해졌다. 보안 담당자가 취약점을 식별하고 패치를 깔기까지 걸리는 시간을 극적으로 줄여야만 공격을 막을 수 있는 구조로 바뀐 것이다.

미 보안업체 캘리프는 지난 14일 미토스를 활용해 애플 M5 기반 맥OS 커널 권한상승 공격 경로를 찾아냈다고 밝혔다. 공격자가 기기 내부의 핵심 권한을 확보해 파일이나 설정, 보안 기능에 접근할 수 있는 길을 찾았다는 뜻이다.

클라우드플레어도 지난 21일 미토스를 자사 코드 저장소 50곳 이상에 적용한 결과를 공개했다. 클라우드플레어는 미토스가 단순히 버그를 찾는 데 그치지 않고 여러 취약점을 연결해 실제 공격 경로로 발전시킬 수 있다고 평가했다. 쉽게 말해 기존 모델이 문에 작은 틈이 있다는 사실을 알려줬다면 미토스는 그 틈과 창문 잠금장치 내부 이동 경로를 함께 계산해 실제 침입 경로를 짜낸 셈이다.

업계에서는 오는 7월 글래스윙의 연구 결과가 공식 공개될 경우 파장이 더 커질 수 있다고 보고 있다. 글래스윙 참여 기관이 미토스로 찾아낸 취약점 정보와 대응 결과가 순차적으로 공유될 경우 각국 정부와 기업의 보안 대응 체계에도 직접적인 영향을 줄 수 있기 때문이다.

'미토스 쇼크' 이후 우리 정부는 앤트로픽, 오픈AI 등 글로벌 AI 강자들과 긴급히 접촉하며 취약점 정보 공유와 접근권 확보에 총력을 기울이고 있다.

과기정통부는 최근 앤트로픽 측을 만나 미토스가 발견한 보안 취약점 정보를 외부에 공개하기 전 한국 정부에 먼저 알려달라고 요청했다.

이어 오픈AI와도 실무 워크숍을 열고 정보 공유를 제안하는 한편, '신뢰 기반 사이버 접근 프로그램(TAC)'에 대한 설명을 들었다. TAC는 오픈AI가 검증된 보안 전문가와 국가 기관에 한해 고성능 AI 모델의 접근 권한을 주는 폐쇄적 프로그램이다.

이웃 나라 일본은 발 빠르게 움직이고 있다. 니혼게이자신문 등에 따르면 일본의 3대 메가뱅크(대형은행)는 이달 말 미토스 접근권을 손에 쥔다. 오픈AI 역시 일본 정부와 기업에 보안 특화 모델인 'GPT-5.5 사이버'를 제공하는 방안을 검토 중이다.

이에 다음 주 방한하는 제이슨 권 오픈AI 최고전략책임자(CSO)와 한국 정부 간 TAC 참여·보안 특화 모델 협력 논의가 이어질지도 주목된다.

하지만 국내 보안업계와 학계에서는 우려의 목소리도 나온다. 미국 AI 기업들이 주도하는 협의체에서 던져주는 정보만 받아먹는 수준에 그칠 수 있어서다. AI가 찾아낸 핵심 해킹 정보의 공유 시점이나 접근 범위가 해외 기업 정책에 휘둘리면 국가 안보 대응 타이밍을 놓칠 수 있다.

이상근 고려대 AI보안연구소장은 "중장기적으로 보안 운영 체계 자체를 AI 기반으로 빠르게 전환하고 국산 보안 AI 역량을 키워야 한다"며 "AI 시대에 맞는 규제 개편과 국가 차원의 AI 보안 인프라 구축이 시급하다"고 지적했다.

정부도 국내 독자 AI 모델을 보안 최전선에 투입하는 방안을 꾀하고 있다. LG AI연구원, SK텔레콤, 업스테이지 등 국내 기업이 가진 AI 모델을 보안 전용으로 훈련시켜 '한국형 보안 AI'를 완성하겠다는 구상이다.

보안 전문가들은 단순히 똑똑한 AI 모델을 만드는 것보다 이를 현장에 적용할 '운영 역량'이 더 중요하다고 조언한다. AI가 찾은 취약점을 어떻게 검증하고 어떤 순서로 치료할지, 그리고 AI에게 어디까지 권한을 주고 통제할지 함께 설계해야 한다는 뜻이다.

이미 국내에서도 AI 기반의 자동화 방어선을 구축하려는 움직임이 활발하다. 라온시큐어와 업스테이지는 사람 대신 보안을 맡는 '에이전틱 AI' 기반의 자동화 플랫폼 개발을 위해 손을 잡았다. 라온시큐어의 인증 기술과 업스테이지의 거대언어모델(LLM) '솔라'를 결합해 기업 보안을 자동으로 돌리는 구조다.

두 회사는 AI 에이전트마다 명확한 신분증을 쥐여주고 허용된 범위 안에서만 시스템을 고치도록 통제하는 '에이전틱 AI 관리(AAM)' 기술도 함께 개발 중이다. AI가 기업 내부 핵심 망에 직접 들어가 보안 조치를 취하는 만큼, AI의 권한을 통제하는 안전장치가 필수적이기 때문이다.

업계 관계자는 "미토스 사태 이후 글로벌 빅테크들은 이미 AI의 신원과 권한을 통제하는 표준 기술 경쟁에 돌입했다"며 "국산 AI 모델과 검증된 신원 인증 인프라를 묶어 한국형 AI 보안 체계를 만든다면, AI 안보 주권을 지키는 동시에 글로벌 동맹에서도 대등한 목소리를 낼 수 있을 것"이라고 말했다.


◎공감언론 뉴시스 [email protected]