미국 인공지능 기업 앤트로픽이 개발한 AI 모델 ‘미토스’를 둘러싸고 전 세계 보안 업계가 긴장하고 있다.
영화 ‘미션 임파서블: 파이널 레코닝’에 등장하는 AI ‘엔티티’는 전 세계 네트워크에 퍼져 스스로 판단하고 행동하는 인공지능으로, 인간이 통제하려 할 경우 이를 피하기 위해 정보를 조작하고 거짓 데이터를 퍼뜨리며 시스템을 교란하는 방식으로 대응하는 존재다.
각국 정보망과 군사 시스템까지 파고들어 상황을 바꾸는 설정이 핵심인데, 최근 미토스처럼 스스로 취약점을 찾고 공격 경로까지 설계하는 AI가 등장하면서 이런 모습이 단순한 영화적 상상으로만 보기 어렵다는 반응도 나온다.
16일 업계에 따르면 미토스는 스스로 보안 취약점을 찾고 침투 경로까지 설계할 수 있는 자율형 에이전트로 알려졌다. 사람이 일일이 명령을 입력해야 움직이던 기존 보조형 AI와 달리 목표만 주어지면 버그 분석부터 공격 코드 작성까지 연쇄적으로 수행할 수 있다는 점에서 파장이 커지고 있다.
미토스가 특히 주목받는 건 실제로 확인된 성능 때문이다. 보안성이 높기로 알려진 운영체제 ‘오픈BSD’에서 27년 동안 발견되지 않았던 설계 결함을 찾아낸 데 이어, 이를 바탕으로 서비스 거부 공격까지 수행할 수 있는 수준으로 전해졌다. 오픈BSD는 보안에 강한 운영체제로 유명해 오랫동안 해커들의 주요 공격 대상이었지만 치명적인 결함이 거의 발견되지 않았던 시스템이다.
여기에 그치지 않고, 알려지지 않은 취약점인 ‘제로데이(보안 패치가 나오지 않은 상태의 숨은 결함)’를 찾아 공격에 활용하는 속도도 기존 인간 해커의 수개월 단위를 수시간 수준으로 줄일 수 있다는 분석이 나온다.
미토스가 단순한 고성능 AI를 넘어 위험하게 받아들여지는 이유도 여기에 있다. 그동안 화이트해커나 보안 연구자가 오랜 시간을 들여 찾아내던 취약점을 AI가 훨씬 짧은 시간 안에 포착할 수 있다면, 방어 체계는 그 속도를 따라가기 어려워진다. 보안 패치를 적용하고 대응책을 마련하기도 전에 새로운 취약점이 잇따라 쏟아질 수 있다는 뜻이다. 보안 업계에서 이른바 ‘미토스 쇼크’라는 표현까지 나오는 배경도 여기에 있다.
앤트로픽도 미토스의 위험성을 의식해 일반 공개는 하지 않고 있다. 회사는 일부 기술 기업과 금융사, 인프라 기관이 먼저 모델을 시험하며 취약점을 찾아 보완하는 ‘프로젝트 글래스윙’을 운영 중이다. 실제로 앤트로픽은 이 프로그램을 차세대 AI 도구를 방어 목적의 사이버 보안에 활용하는 조기 평가 체계라고 설명하고 있다.
오픈AI도 가세…보안 특화 모델 잇따라 공개
오픈AI도 비슷한 방향으로 움직이고 있다. 업계에 따르면 오픈AI는 최근 보안 취약점 탐지에 특화한 ‘GPT-5.4-사이버’를 공개했다. 이 모델은 일반 공개형이 아니라 검증된 보안 전문가와 기관을 대상으로 제한 제공되는 방식이다. 소스코드가 없는 실행 파일만으로 내부 구조를 분석하는 이른바 바이너리 역공학 기능을 앞세워, 취약점이나 악성코드를 찾아내는 데 활용할 수 있도록 설계됐다.
기존에는 보안 전문가가 수만 줄에 이르는 기계어 코드를 일일이 대조하며 결함을 찾아야 했다면, 이제는 AI가 이 과정을 훨씬 빠른 속도로 처리할 수 있게 됐다는 설명도 나온다. 오픈AI는 이 모델을 ‘신뢰할 수 있는 접근(TAC)’ 프로그램을 통해 검증된 인력에게만 제공하고 있으며, 방어 목적의 보안 역량을 끌어올리는 데 초점을 맞추고 있다고 설명했다.
미토스에 이어 오픈AI까지 비슷한 성격의 모델을 내놓으면서, AI가 사이버 보안의 판을 바꾸는 것 아니냐는 긴장감도 더 커지는 분위기다.
자율 해킹 AI 등장에 정부·금융권 긴급 대응
미토스가 공개되자 주요 국가들도 곧바로 대응에 나섰다. 미국에서는 재무부와 백악관이 관계 부처와 주요 은행, 민간 기업 관계자들을 모아 비공개 회의를 열고 대응 방안을 논의한 것으로 전해졌다.
영국과 캐나다 역시 금융당국과 주요 금융사들이 긴급 회동을 진행하며 AI 기반 보안 위협이 금융 시스템에 미칠 영향을 점검하고 있다. 글로벌 빅테크와 금융사들이 참여하는 대응 프로젝트도 추진되면서, 각국이 동시에 대응 체계 점검에 들어간 모습이다.
우리 정부도 발 빠르게 대응에 나섰다. 과학기술정보통신부는 지난 14일부터 통신 3사와 네이버, 카카오 등 주요 플랫폼 기업, 정보보호 업계와 잇달아 회의를 열고 AI 기반 보안 위협 대응 태세를 점검했다. 15일에는 금융위원회가 금융감독원과 금융보안원, 은행·보험권 최고정보보호책임자들을 불러 긴급 점검 회의를 진행했다.
금융권이 특히 민감하게 반응하는 이유는 결제와 송금, 고객 정보 처리 시스템이 복잡하게 맞물려 있기 때문이다. 이런 AI 모델이 금융 인프라의 취약점을 빠르게 찾아내 악용할 경우 피해가 개별 회사에 그치지 않고 시스템 전반으로 번질 수 있다는 우려가 나온다.
국내에서는 아직 미토스 자체에 접근하지 못하고 있는 만큼 실제로 어떤 수준의 위험이 가능한지부터 파악하는 일이 급하다는 목소리도 있다. 보안 업계에서는 제로 트러스트 체계 구축과 소프트웨어 공급망 보안 강화, 국내 보안 기업의 AI 활용 역량 확대, 정부 주도 연구개발 투자 등이 서둘러 이뤄져야 한다고 보고 있다.
미토스는 이제 단순히 답을 내놓는 AI가 아니라, 보안 허점을 스스로 찾아내고 공격 경로까지 설계할 수 있는 모델이다. 미국과 영국, 캐나다 등 주요국이 서둘러 대응 회의를 연 것도, 국내 정부가 통신·플랫폼·금융권 점검에 나선 것도 이런 이유다.