막강한 AI ‘미토스’, 난공불락 보안 체계 새 국면 맞나

27년간 못 찾은 취약점도 포착...인간 통제 무너뜨린 자율형 보안 지능
미국·캐나다·한국 등 주요국 긴급 대응, 고위험 AI ‘인허가 제도’ 논의도

앤스로픽 ‘미토스’가 보안 취약점을 스스로 찾고 공격 코드도 만들며 보안 체계를 무너뜨린다. 사진=포춘/게티이미지

세계 최고의 보안 전문가들이 수십 년간 ‘완벽하다’라고 자부해 온 운영체제(OS)의 최종 보안 방어선이 인공지능(AI) 앞에서 한순간에 무너졌다.

주인공은 AI 스타트업 앤스로픽(Anthropic)이 공개한 차세대 모델 ‘미토스(Mythos)’다. AI 모델 미토스는 인간 전문가 수준의 추론 능력을 바탕으로 소프트웨어 설계 구조를 분석하고, 보안 취약점을 스스로 찾아내며 실제 공격 코드까지 제작하는 자율형 보안 지능으로 평가된다.

미토스의 가장 큰 특징은 자율성이다. 과거 AI 모델은 인간이 침투 경로를 지시해야 했지만, 미토스는 단 한 줄의 명령만으로 취약점 탐지부터 공격 코드 작성까지 전 과정을 독립적으로 수행한다.

실제로 보안이 강력하기로 유명한 오픈BSD(OpenBSD, NetBSD에서 포크된 BSD 계열의 오픈소스 운영체제)에서 27년간 발견되지 않았던 버그를 찾아냈으며, 기존 자동화 도구가 수백만 번의 검사에도 놓쳤던 취약점까지 포착했다. 더 나아가 격리된 가상 환경을 스스로 탈출하고 흔적을 지우는 등 인간의 통제를 벗어난 행동을 보여 우려를 키웠다.

미국 IT 전문매체 벤처비트(VentureBeat)가 주최하는 연례 AI·테크 컨퍼런스 ‘VB 트랜스폼(VB Transform)’에 따르면, 미토스가 찾아낸 버그는 OpenBSD의 TCP SACK(Selective Acknowledgment) 구현부에 숨어 있던 27년 된 취약점으로, 단 두 개의 패킷만으로 서버를 한번에 무너뜨릴 수 있는 심각한 결함이었다.

이는 단순한 패킷 조합으로 서버 전체가 예기치 않게 강제 종료 또는 비정상 종료되어 방화벽, 라우터, 핵심 인프라 모두 위험에 처할 수 있게 한다. 이 버그는 1997년부터 2024년까지 무려 27년간 발견되지 않았다.

이 같은 파괴력은 단순한 데이터 검색을 넘어 AI의 수준이 ‘사고’하고 ‘침투’하는 단계에 진입했음을 의미한다. 실제로 미토스는 박사급 전문가용 추론 시험에서 사상 최초로 50%를 넘겼고, 해킹 재현 평가에서도 압도적인 성적을 기록했다. 이를 두고 ‘지능형 저격수’로 진화한 AI라는 전문가들의 평가도 나왔다.

미국, 캐나다, 영국 등 주요국은 즉각 대응에 나섰다. 백악관은 국가사이버국을 중심으로 핵심 인프라 보안 점검에 착수했으며, 부통령과 재무장관, 연준 의장, 주요 테크·금융업계 경영진을 소집해 대응책을 논의했다.

캐나다는 앤트로픽의 미토스 공개 직전 미국 정부에 사전 브리핑을 진행하고, AI 장관이 ‘방어자 우선’ 원칙을 강조하며 핵심 시스템 보호 기관과 논의를 추진했고, 캐나다 금융권도 미토스 관련 논의와 긴급 회동을 진행한 것으로 전해졌다.

우리나라에서도 금융감독원이 최근 긴급 점검에 들어갔다. 금융위원회는 15일 금융감독원·금융보안원·은행·보험권 CISO 등을 소집해 미토스 영향과 대응 방안을 논의한 긴급 현안 점검 회의를 진행했다.

이번 회의는 앞서 13일 금융감독원이 금융권 정보보안 실무자들과 회의를 연 데 이어, 보안 위협 점검 수준을 격상해 진행된 회의다. 이는 미토스가 단순히 취약점을 찾는 수준을 넘어 여러 취약점을 연결해 공격을 자율적으로 설계할 수 있다는 점에서 비롯된 위기감이다.

앤스로픽은 기능의 위험성을 고려해 미토스를 일반에 공개하지 않고, 아마존·애플·마이크로소프트·엔비디아·AWS 등 12개 파트너사와 40개 기관에만 제한적으로 제공하고 있다.

이들은 ‘프로젝트 글래스윙(Project Glasswing)’이라는 이름의 글로벌 AI 사이버 보안 연합을 출범시켜 미토스를 방어용으로 활용하며, 발견된 취약점을 산업 전반에 공유하는 체계를 마련했다. 최근 미토스 프리뷰는 수천 건의 제로데이를 탐지했으며, 일부는 10년 이상 존재했음에도 발견되지 않았던 결함이었다.

문제는 이러한 고위험 AI가 특정 기업에만 머무르지 않을 수 있다는 점이다. 한 번 확인된 해킹 수법은 빠르게 확산될 수 있고, AI가 취약점을 탐지하는 속도가 패치 속도를 앞지른다면 기존 보안 체계는 흔들릴 수밖에 없다. 이에 따라 전문가들은 단순한 검증을 넘어 ‘인허가 제도’를 도입해 고위험 AI를 국가 안보 자산처럼 관리해야 한다는 목소리도 나오고 있다.

인터넷이나 스마트폰이 대중 확산을 통해 성장한 것과 달리, 미토스 같은 고위험 AI는 제한된 접근과 선별적 활용을 전제로 한 폐쇄형 운영 체계로 흘러갈 가능성이 크다. AI가 국가 핵심 인프라를 위협하거나 방어할 수 있는 수준으로 고도화되면서, 인류는 AI가 만든 보안 위협과 AI가 막아내는 보안 방어를 동시에 마주하는 시대에 살게 됐다.

전체메뉴

보안·안보