[서울=뉴시스]윤정민 기자 = 앤트로픽 보안 특화 인공지능(AI) 모델 '클로드 미토스'와 관련해 "기존의 연 단위 보안 패치 체계는 이미 무력화됐으며 국가 안보 차원에서 '분 단위' 실시간 대응 체계로의 대전환이 시급하다"는 주장이 나왔다.

이상근 고려대 AI 보안연구소장은 23일 오전 서울 영등포구 FKI타워에서 PwC컨설팅이 연 '미토스' 관련 긴급 좌담회에서 "미토스는 미래의 위협이 아니라 현실적인 당면 과제"라며 "이미 수천 건의 제로데이가 발견된 상황에서 (7월에 예정된) 공개 시점에는 한국도 대응을 끝내야 한다"고 밝혔다.

앤트로픽이 지난 7일(현지 시간) 공개한 '미토스'는 코딩, 추론, 사이버보안 전 영역에서 기존 모델 대비 압도적으로 높은 성능을 보이며 취약점 탐지뿐 아니라 실제 공격 코드 생성까지 가능한 모델로 평가된다.

특히 앤트로픽은 샌드박스 탈출(격리 환경 탈출) 등 자율 해킹 가능성까지 확인되면서 일반 공개를 중단했다. 현재 구글, 애플, 아마존웹서비스(AWS), JP모건 등 40개 기업·기관 등에 한정해 '프로젝트 글래스윙' 이니셔티브 형태로 제한적 접근을 허용하고 있다.

이 가운데 최근 미 국립표준기술연구소(NIST)는 최근 취약점 데이터베이스(NVD) 운영을 축소하고 약 2만9000건의 취약점을 '미분류' 상태로 남기는 등 사실상 전수 관리 체계를 포기하는 방향으로 바꿨다.

이 소장은 "우리나라는 대부분 보안 기업이 NVD를 중심으로 움직이고 있다. 그런데 그 데이터베이스가 사라진다"며 "즉시 독자적인 취약점 분석 체계를 구축하거나 실제 악용 취약점(KEV) 중심의 중심 워크플로로 전환해야 한다"고 말했다.

◆美 정부도 '미토스'에 손 들었다…"모든 취약점 대응 불가능"

이 소장은 '미토스 쇼크' 상황에서 우리 보안 체계가 AI 시대에 구조적으로 취약한 상태라고 평가했다.

현재 공공기관은 연 1~2회 수준의 패치 주기를 유지하고 있는데 AI가 수분 만에 공격 도구를 생성하는 환경에서는 사실상 무력화된 구조라고 지적했다. 이 소장은 보안 지표 사이트 '제로데이 클락'을 인용해 "2018년 수년이 걸리던 공격 전환 시간은 2026년 현재 10시간 이내로 단축된 상태다. 2028년에는 1분 미만으로 줄어들 것"이라고 말했다.

또 한국 기업·기관은 글래스윙에 참여하지 못했다. 이 소장은 이에 대해 "정보 비대칭으로 인해 향후 공개될 수천 개의 제로데이 취약점 정보와 대응 능력에서 격차가 벌어지고 있다"고 진단했다.

보안 인력 부족 문제와 함께 정부가 추진하는 '독자 AI 파운데이션 모델'도 미토스에 버금가는 사이버보안 역량을 갖췄는지에 대해 의문을 표했다.

아울러 국내 금융·공공 시스템이 액티브X 기반의 인증 체계, 한글(hwpx) 중심 문서 체계인 점 등 글로벌 표준과 다른 환경인 점에 대해 "미국에서 쓰지 않는 시스템이기 때문에 아마 미국에서 취약점을 발견해 주지도 않을 것이다. 사각지대가 될 가능성이 크다"고 진단했다.

◆"7월 초 공개 전이 골든타임…장기적으로 '국가 AI 보안센터' 구축해야"

이 소장은 미토스 관련 취약점 정보가 대대적으로 공개될 것으로 예상되는 7월 초까지가 '골든타임'이라고 말했다. 그는 정보 비대칭으로 인한 혼란을 피하기 위해 미국 체계를 따라가는 단기 대응이 필요하다고 말했다.

또 국가정보원 주도로 운영체제(OS)·브라우저·오픈소스 전반에 대한 긴급 패치 지침을 마련하고 NVD 의존 구조에서 벗어나 자체 취약점 분석 체계를 구축해야 한다고 강조했다.

이 소장은 국가 핵심 인프라(이동통신사, 한국전력, 국방부 등)에 대한 자산 인벤토리 점검과 소프트웨어 구성요소 목록(SBOM) 확보도 시급한 과제로 꼽았다. 우리 기관에 어떤 서버가 있는지조차 파악이 안 된 경우가 많다는 지적이다.

보안 운영 체계의 근본적 전환도 필요하다고 말했다. AI 기반 보안관제(SOC)를 도입하고 취약점 관리 역시 공통 취약점 점수 시스템(CVSS) 점수 중심에서 공격 경로 기반 분석으로 바꿔야 한다고 말했다.

이 소장은 "이제는 취약점 하나씩 찾아 막는 방식으로는 대응이 불가능하다"며 "여러 취약점이 연결되는 공격 경로를 기준으로 침투 과정을 차단하고, 네트워크 단에서 공격 자체를 막는 구조로 보안 체계를 전환해야 한다"고 설명했다.

이 소장은 장기적으로 국가 AI 보안 인프라 확대도 주문했다. 그는 "'국가 AI 보안센터'를 설립해 글로벌 협력 체계를 공고히 해야 한다"며 산업 육성 중심 정책에서 국가 리스크 관리, 국가 안보 중심 정책으로의 전환이 필요하다고 주장했다.

이 소장은 "미토스는 사이버 역량의 무기화가 아닌 '사이버 보안 자체의 무기화'로 봐야 한다"며 "사이버보안이 더 이상 기술 문제가 아니라 국가 안보 문제로 전환됐다. AI를 먼저 활용하는 쪽이 방어에서도 우위를 가져갈 것"이라고 말했다.


◎공감언론 뉴시스 alpaca@newsis.com