(서울=뉴스1) 이기범 기자 = 사실상 해킹이 불가능한 영역이라고 알려졌던 '패스워드'(비밀번호)도 인공지능(AI)이 뚫어냈다. 전문 화이트해커가 수일씩 걸려야 찾는 취약점도 단 10분만에 찾아냈다. '세계 최고의 AI 해커'로 불리며 미국을 비롯한 전세계에 위기감을 불러온 '미토스'가 아닌, 그 하위 모델 '클로드 오퍼스 4.7'로 정부가 진행한 모의해킹에서 드러난 취약점이다.
8일 과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 '미토스 쇼크'에 대응하기 위한 AI 모의해킹 및 전문가 간담회를 진행했다.
이번 모의 해킹 결과 특정 기업에서 보안 취약점 7건이 발견됐다. 특히 전문 해커가 며칠 걸릴 일을 불과 10여 분 만에 해낸 것으로 확인됐다.
정부는 이날 오전 진행된 전문가 간담회 자리에서 한국인터넷진흥원(KISA)이 앤트로픽의 AI 모델 '클로드 오퍼스'를 이용해 모의 해킹을 진행한 결과를 놓고 논의했다.
이번 모의해킹에서는 클로드 미토스의 위험성을 평가하기 위해 현재 비공개로 제공되는 미토스 모델 대신 앤트로픽이 공개한 최상위 모델 라인업인 '클로드 오퍼스 4.7'을 이용했다.
그 결과 특정 기업에서 7건의 보안 취약점이 발견됐으며, 특히 설정된 패스워드를 우회해 원하는 패스워드로 보안을 뚫은 사례도 나왔다.
최우혁 과학기술정보통신부 정보보호네트워크정책실장은 "KISA 전문가를 통한 AI 모의 해킹에서 전문 해커가 수작업으로 할 경우 며칠 걸릴 일을 불과 10여 분 만에 할 수 있었다"고 말했다.
다만 그는 "프롬프팅 능력이 중요하기 때문에 일반인들이 당장 해커 수준의 해킹을 할 수 있는 수준은 아니었다"고 덧붙였다.
앞서 배경훈 부총리 겸 과학기술정보통신부 장관은 "공개 가능한 범위 내에서 최신 모델의 사이버 역량을 점검한 결과 별도의 고도화된 코딩 없이도 프롬프팅만으로 취약점 탐색과 공격 시나리오 구성이 상당 수준 가능하다는 점을 확인했다"고 밝힌 바 있다.
앤트로픽은 지난달 초 '자율형 보안 지능'을 갖춘 범용 AI 모델 '미토스'를 공개했다. 미토스는 별도 훈련 없이도 복잡한 소프트웨어 설계 구조에서 취약점을 찾아내고 침투 경로까지 설계할 수 있는 것으로 알려져 충격을 줬다.
앤트로픽은 미토스를 일반에 공개하지 않고 52개 기업·기관에만 접근권을 제공하는 글라스윙 프로젝트를 추진 중이다. 정부도 미토스 접근권을 얻기 위해 글라스윙 참여 방안 등을 타진해왔다.
이를 두고 최 실장은 AI안전연구소와 KISA를 통해 글라스윙 프로젝트에 참여하는 방안을 타진 중이라고 밝혔다. 현재 영국이 AI안보연구소(AISI)를 통해 미토스 접근 권한을 받은 사례를 참고한 것이다.
아울러 정부는 이날 전문가 간담회를 통해 현재 ‘독자 AI 파운데이션 모델’(독파모) 프로젝트를 미토스 같은 보안 특화 모델을 발전시키는 방안을 포함해 다양한 방안을 논의했다.
이번 간담회에는 SK텔레콤, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 참여기업과 주요 AI 기업, 한국정보보호학회장을 비롯한 AI 보안 분야 학계 전문가, 한국정보보호산업협회장을 비롯한 주요 정보보호기업 대표, 주요 기업 CISO 등이 참여해 각자 분야에서의 AI 모델의 영향과 향후 대응 방안에 대한 다양한 의견을 개진했다.
과기정통부는 추가적인 온오프라인 토론회를 거쳐 5월 말에서 6월 초쯤 미토스 쇼크 대응 방안을 발표할 예정이다.
한편, 과기정통부는 오는 11일 방한하는 마이클 셀리토 앤트로픽 글로벌 정책 총괄과 만나 미토스 관련 논의를 할 예정이다. 이 자리에서 정부는 미토스 접근권을 요구할 것으로 보인다.
Ktiger@news1.kr
