앤트로픽 '미토스' 사태로 AI 해킹 현실화…국회입법조사처, 보안 공백 경고
美 취약점 DB 흔들리는데 韓 대안 부재…느려터진 보안 패치 속도 도마 위
"긴급 패치 사전심의 면제부터 가칭 '사이버안보법' 제정까지 싹 뜯어 고쳐야"
![[뉴욕=AP/뉴시스]뉴욕의 한 컴퓨터 화면에 2월26일 앤트로픽의 웹사이트와 회사 로고가 표시돼 있다. 백악관이 정부 기관들이 앤트로픽의 공급망 위험 지정을 해결하고 역대 가장 강력한 미토스를 포함한 새로운 모델을 탑재할 수 있도록 하는 지침을 개발하고 있다고 액시오스가 정통한 소식통들의 말을 인용해 28일(현지시각) 보도했다. 2026.04.29.](https://img1.newsis.com/2026/04/22/NISI20260422_0001195780_web.jpg?rnd=20260429181236)
[뉴욕=AP/뉴시스]뉴욕의 한 컴퓨터 화면에 2월26일 앤트로픽의 웹사이트와 회사 로고가 표시돼 있다. 백악관이 정부 기관들이 앤트로픽의 공급망 위험 지정을 해결하고 역대 가장 강력한 미토스를 포함한 새로운 모델을 탑재할 수 있도록 하는 지침을 개발하고 있다고 액시오스가 정통한 소식통들의 말을 인용해 28일(현지시각) 보도했다. 2026.04.29.
[서울=뉴시스]심지혜 기자 = 앤트로픽 '미토스' 등 자율해킹이 가능한 고성능 인공지능(AI) 모델이 앞다퉈 등장하면서 사이버 보안에 비상이 걸렸다. 고성능 AI가 해킹에 악용될 위험이 현실로 다가왔기 때문이다. 기존 보안 체계로는 밀려드는 AI 공격을 막기에 역부족이다. 취약점 공유와 긴급 패치, 범정부 대응을 아우르는 전면적인 법과 제도 정비가 시급하다는 지적이 나온다.
국회입법조사처는 최근 이같은 내용을 담은 '미토스 사태와 AI 보안 위협 대응 전략' 보고서를 발표했다.
글로벌 보안 기준 흔들리는데…한국은 '대안 제로'
문제는 한국이다. 이를 대체하거나 보완할 국가 차원의 독자적인 정보망이 없다. 자칫 글로벌 보안 역량 격차가 벌어지고 치명적인 정보 비대칭에 빠질 수 있다는 우려가 크다는 지적이다.
주요 선진국과 달리 한국은 보안 전반을 아우르는 '사이버 통합법'이 없다. 공격을 미리 탐지하는 조기경보체계나 소프트웨어 부품 명세서(SBOM) 제출 의무화 등 제도적 빈 구멍도 많다.
특히 공공기관이나 금융권은 뚫린 보안 취약점을 메우는 패치를 까는 데 짧게는 수 주, 길게는 수개월이 걸린다. 눈 깜짝할 새 공격 코드를 쏟아내는 AI의 속도를 도저히 따라갈 수 없다. 기존의 '망 분리'에만 의존하는 수비형 방어막으론 한계가 뚜렷하다는 비판이 나오는 이유다.
"약식 절차 서두르고, 장기적으론 통합법 만들어야"
당장 시급한 건 방어의 유연성이다. 주요 정보통신 시설에 긴급하게 보안 패치를 깔아야 할 때는 까다로운 사전 심의를 면제하는 '약식 절차'를 도입해야 한다는 지적이다. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 기준에 소프트웨어 자재 명세서 작성, 공격경로 분석, AI 취약점 점검을 의무화하는 방안도 거론된다.
중기 과제로는 '한국형 취약점 데이터베이스(NVD)' 구축이 꼽힌다. 긴급 패치 과정에서 어쩔 수 없이 발생하는 서비스 장애에 대해 실무자의 책임을 면제해 주는 근거도 필요하다. AI가 스스로 해킹을 탐지하고 막아내는 'AI 보안관제센터(AI-SOC)' 도입도 서둘러야 한다.
한국형 취약점 데이터베이스(NVD) 운영 근거를 마련해야 한다는 제안도 나왔다. 중기적으로는 긴급 패치 과정에서 발생할 수 있는 서비스 장애에 대한 면책 근거와 금융·공공기관의 AI 기반 자동 대응체계인 AI 보안관제센터(AI-SOC) 도입 근거를 마련할 필요가 있다는 분석이다.
장기적으로는 분산된 사이버보안 법체계를 하나로 통합하는 가칭 사이버안보법 제정이 필요하다는 의견이 제시됐다. 단일 컨트롤타워 체제를 굳히고 민관이 공격 정보를 실시간으로 나누는 체계를 법으로 못 박아야, 날로 거대해지는 AI 사이버 위협에 선제적으로 맞설 수 있다는 분석이다.
◎공감언론 뉴시스 [email protected]
