명령어 한줄에 27년 보안 뚫렸다…'미토스 쇼크'에 靑도 비상

(서울=뉴스1) 이기범 기자

"약점을 찾아 침투하라."

단 한 줄의 명령어에 27년 동안 검증된 운영체제(OS)의 보안이 무너졌다. 앤트로픽 인공지능(AI) 모델 '미토스'의 등장에 전 세계 정부, 금융, 보안 업계가 긴급 점검에 나선 이유다. 한국 정부도 AI 기반 사이버 공격 확산을 우려하며 민관군 대응 체계 점검에 나섰다.

16일 업계에 따르면 미토스는 '자율형 보안 지능'을 갖춘 범용 AI 모델로, 사이버 보안에 특화된 별도 훈련 없이도 에이전틱 코딩과 추론 능력을 기반으로 보안 역량을 발휘하는 것이 특징이다. 복잡한 소프트웨어 설계 구조를 인간 전문가 수준으로 추론해 취약점을 찾아내고 침투 경로까지 설계할 수 있다.

앤트로픽에 따르면 '미토스 프리뷰' 모델은 소프트웨어 취약점을 발견하는 데 있어 최고 숙련자를 제외한 대부분의 사람을 능가하는 실력을 갖췄다. 특히 보안성이 높기로 알려진 운영체제 오픈BSD(OpenBSD)에서 27년 된 버그를 찾아내며 성능을 입증했다.

이에 앤트로픽은 미토스를 일반에 공개하지 않고 파트너사 및 검증된 기관에만 접근을 허용해 방어 중심의 보안 연구를 수행하기로 했다.

전 세계 금융권에는 비상이 걸렸다. 미토스가 일반에 공개되진 않았지만, AI가 기존의 보안 체계를 뒤흔들 수 있다는 가능성이 현실화되자 금융 인프라 마비 우려가 제기됐다. 미국 재무부와 연준(Fed) 수뇌부는 지난 7일(현지시간) 월가 주요 은행 최고경영자(CEO)들을 긴급 소집해 미토스를 활용한 금융 방어 시스템 구축을 주문했다.

이에 따라 한국 정부도 관련 대응에 나섰다. 금융감독원은 지난 14일 은행 등 주요 금융사 정보보안 담당 실무자들을 긴급 소집해 대응 방안을 점검했다.

청와대도 움직였다. 청와대 국가안보실은 민·관·군 주관 부처에 긴급 대응을 주문했다. 이에 AI 및 사이버보안 주무부처인 과학기술정보통신부는 네 차례 릴레이 긴급 현안 점검 회의를 열었다.

14일에는 네이버, 카카오, 우아한형제들, 쿠팡 등 주요 플랫폼사 정보보호 최고책임자(CISO)와 긴급 현안 점검 회의를 열었다. AI를 활용한 보안 위협에 주의하고, 각사별로 긴급 보안 점검을 실시할 것을 당부했다. 또 AI를 활용한 특이 공격 발생 시 한국인터넷진흥원(KISA)과 상황을 공유할 것을 요청했다.

또 같은 날 국내 AI 보안전문가와 현안 점검 회의를 열고 향후 대응 방향을 논의했다.

15일 오전에는 국내 주요 보안 업체들을 소집했으며, 오후에는 국내 주요 기업 40개 사 CISO와 간담회를 열었다.

이날 간담회에는 산업 분야에서 SK하이닉스, 금융권에서는 신한은행, 현대카드, 의료 분야에서는 삼성서울병원, 카카오헬스케어, 유통 분야에선 롯데쇼핑 등이 참여했다.

릴레이 긴급 현안 점검 회의에서 기업들은 "예측했던 상황이 생각보다 빨리 왔다", "AI 기반의 공격이 언제든 들어올 수 있다는 상황 인식을 바탕으로, 위기를 기회로 만들어 AI 기반으로 보안 역량을 올려야 한다" 등의 얘기를 나눈 것으로 전해졌다.

보안 업계는 "AI로 인한 보안 위협은 상수라는 가정하에 제로 트러스트 보안 체계가 기업과 각 기관에 확립되어 있어야 한다"고 입을 모았다. 제로 트러스트는 '절대 아무도 신뢰하지 않는다'는 원칙을 기반으로 지속해서 신뢰성을 검증하는 보안 체계를 일컫는다.

배경훈 부총리 겸 과기정통부 장관은 "미토스 등 고성능 AI 기반 사이버보안 서비스의 등장은 보안 수준의 획기적 향상의 기회가 됨과 동시에 그것이 악용될 경우 큰 위험이 될 수 있음을 보여준다"고 말했다.

이어 "우리나라의 기업, 기반시설 등이 위와 같은 위협에 노출되지 않으면서 그와 동시에 사이버 보안 역량을 향상시킬 수 있어야 할 것"이라며 "민·관이 합동으로 우리나라의 사이버 보안 생태계 고도화를 위해 노력하자"고 강조했다.

한편 국내 기업들은 미토스 쇼크가 미칠 영향에 촉각을 곤두세우면서도 아직 실질적인 조치에 나설 단계는 아니라고 선을 그었다.

한 국내 IT 대기업 관계자는 "미토스가 현재 미국 소수 기업과 재단에 프리뷰 형태로 공개가 된 것이기 때문에 개별 기업 단위에서 즉각 대응이 가능한 영역은 아직 아닌 것 같다"고 말했다.

과기정통부 관계자는 "앤트로픽에서 7월에 보고서를 내놓는다고 하는데, 그때까진 민관이 서로 주어진 상황 속에서 동향을 파악하고, 현황을 공유할 것"이라며 "오히려 당장 미토스에 대해 뭔가 조치하겠다고 하는 게 어설픈 행동이다. 상시 보안 점검 체계를 갖출 수 있도록 할 것"이라고 말했다.

Ktiger@news1.kr