(서울=뉴스1) 김민재 기자 = 앤트로픽의 고성능 인공지능(AI) '미토스'가 고위험 취약점을 1만 건 이상 발견하자 정부가 기업 보안 체계 정비에 나섰다.
특히 최고경영자(CEO)가 최고정보보호책임자(CISO)에 예산 편성권을 부여해 AI 기반 사이버 공격 대비 태세를 갖춰야 한다고 강조했다.
29일 보안업계에 따르면 한국인터넷진흥원(KISA)은 이달 25일 'AI 기반 사이버공격 대비 기업 대응 요령'과 'AI 기반 사이버공격 대비를 위한 CEO 행동 수칙'을 게재했다.
KISA는 앤트로픽 '프로젝트 글라스윙' 결과를 언급하며 기업들에 AI 기반 사이버 보안 태세 점검을 권고했다.
앞서 앤트로픽은 지난 22일(현지시간) 소프트웨어 보안 강화 프로젝트 '프로젝트 글라스윙' 초기 성과를 공개했다.
앤트로픽은 AI 모델 '클로드 미토스 프리뷰'로 주요 소프트웨어를 점검한 결과 고위험 취약점 1만 건 이상을 발견했다고 설명했다.
오픈소스 파일에서도 취약점이 대거 탐지됐다. 앤트로픽은 약 1000개의 오픈소스 프로젝트에서 취약점 2만 3019건을 발견했다. 그중 6202건은 고위험 취약점으로 분류했다.
앤트로픽 AI 모델 '미토스'는 보안 패치가 배포되지 않은 '제로데이 취약점' 자동 공격 능력을 지닌 것으로 알려졌다. 이에 정부는 앤트로픽과 접촉해 미토스 접근권 획득 방안 등을 논의하기도 했다.
보안 당국은 민간 기업 CEO가 AI 기반 사이버 위협 방어에 투자하고, CISO와 지속 소통하며 대응 체계를 강화해야 한다고 당부했다.
KISA는 "AI 시대에 정보보호는 CISO 혼자만의 숙제가 아닌 경영진과 이사회의 핵심 안건"이라며 "임직원에게 기본적인 보안 수칙을 강조하라"고 했다.
또 "AI에는 AI로 대응해야 한다"면서 AI 보안 전문가를 영입하는 등 AI 기반 사이버 위협 방어체계 구축에 선제적으로 투자하라고 권장했다.
당국은 "CEO가 CISO에게 정보보호 예산 편성권과 인력 관리 권한을 부여해 대비 태세를 갖출 수 있도록 지원하라"며 "CISO와 핫라인을 구축해 수시로 대응 전략을 보고받으라"고도 했다.
기업 행동 수칙도 배포했다. KISA는 △AI 기반 사이버보안 체계 구축 △오픈소스 사용 현황 파악 △제로트러스트 체계 전환 △민·관 협력 강화 필요성 등을 강조했다.
보안 당국은 공격자가 취약점을 미리 파악할 수 있는 '오픈소스'를 통한 AI 사이버 공격 위협에 대비해야 한다고 했다.
KISA는 "사용 중인 오픈소스 목록을 작성해 현황을 파악하고, 이미 알려진 취약점을 포함한 오픈소스 사용을 자동 차단하도록 소프트웨어 구성 분석(SCA) 도구를 도입하라"고 했다.
SCA는 소프트웨어가 사용한 오픈소스 구성 요소를 식별하고 추적·관리하는 보안 방법론이다. 개발자는 이를 통해 숨겨진 취약점을 발견하고 라이선스를 관리할 수 있다.
minjae@news1.kr
