VIEW

(서울=뉴스1) 김민재 이기범 기자 = 앤트로픽 인공지능(AI) 모델 '미토스'가 세계 최고 수준의 사이버 공격 역량을 갖췄다는 분석이 나오자 정부가 긴급대응에 나섰다. 주무 부처인 과학기술정보통신부는 이틀 새 긴급회의만 네 차례 개최하며 분주하게 움직이는 모양새다.

15일 보안당국에 따르면 류제명 과기정통부 제2차관은 전날인 14일 오후 2시 통신 3사(SK텔레콤 017670·KT 030200·LG유플러스 032640)와 네이버(035420), 카카오(035720), 쿠팡 등 주요 플랫폼사 정보보호 최고책임자(CISO)를 소집해 긴급 현안 점검 회의를 진행했다.

정부는 회의에서 AI를 활용한 보안 위협에 주의하고 각사별 긴급 보안 점검을 실시하라고 당부했다. AI를 활용한 특이 공격 발생 시 한국인터넷진흥원(KISA)에 상황을 공유하라고도 요청했다.

이날 오후 5시에는 최우혁 과기정통부 정보보호네트워크정책실장 주재로 국내 AI 보안 전문가 현안 점검 회의가 열렸다.

이어 하루 뒤인 이날 오전엔 국내 주요 보안 업체들을 소집해 이른바 '미토스 쇼크' 관련 국내 정보보호 산업계의 영향과 국내 산업 고도화 방안 등을 논의했다.

회의에 참석한 김진수 한국정보보호산업협회 회장 등 업계 관계자들은 "AI로 인한 보안 위협은 소프트웨어 공급망 보안 강화 측면에서 검토해야 한다"면서 "정부는 (보안 대응 여력이 충분치 못한) 중소기업 보안 격차를 해소해 달라"고 요청했다.

같은날 오후 4시엔 SK하이닉스(000660), 신한은행 등 국내 주요 기업 40곳의 CISO를 소집해 주요 산업군의 AI 사이버 보안 대비 태세를 점검했다.

해당 간담회에는 SK하이닉스와 신한은행 외에도 현대카드, 삼성서울병원, 카카오헬스케어, 롯데쇼핑 등 제조, 금융, 의료, 유통 등 산업 전분야 핵심 기업 CISO가 참석했다.

정부가 전방위적 보안 태세 점검에 나선 배경에는 앤트로픽의 최신 AI 모델 '미토스'가 있다.

미토스는 주요 운영체제(OS)와 웹 브라우저 보안 취약점을 식별하고 공격 코드를 생성하는 능력을 보유했다고 평가된다.

기존 모델이 코드 리뷰나 취약점 분석 보조에 그쳤던 것과 달리, 미토스는 스스로 침투 경로를 설계하고 해킹을 수행할 수 있다는 분석이 나온다.

보안 업계는 미토스가 '제로데이 취약점'(보안 패치가 배포되지 않은 약점)을 자동 탐색해 공격할 가능성을 특히 경계하고 있다.

AI가 보안 패치 제작 속도보다 빠르게 취약점을 찾아내 공격할 경우 기존 방어 체계가 무력화될 수 있기 때문이다.

임종인 고려대 정보보호대학원 명예교수는 "미토스와 같은 고성능 AI는 사이버 핵무기에 비견될 수 있는 수준의 위력을 가질 수 있다"며 "악의적 세력에 넘어갈 경우 국가 안보 차원의 위협으로 이어질 수 있다”고 말했다.

김승주 고려대 정보보호대학원 교수는 "대형언어모델 등장 이후 취약점 탐지와 대응 자동화 속도가 크게 빨라졌다"며 "문제는 기술이 아니라 대응을 위한 의사결정과 예산 집행 등 절차가 공격 속도를 따라가지 못하는 데 있다"고 지적했다.

앤트로픽은 미토스를 대중에 공개하지 않고 핵심 인프라 기업과 기관에만 제공하고 있다. 하지만 유사한 성능을 갖춘 또 다른 모델이 등장할 수 있다는 점이 우려를 키운다.

과기정통부 주요 관계자들은 '미토스 쇼크'를 엄중하게 인식하고 있다며 민관 협력을 통해 사이버 보안 역량을 강화하겠다고 했다.

배경훈 부총리 겸 과기정통부 장관은 "미토스 등 고성능 AI 기반 사이버보안 서비스는 보안 수준을 획기적으로 향상할 수도 있지만, 악용될 경우 큰 위험이 될 수 있다"고 말했다.

최우혁 정보보호네트워크정책실장은 "정부는 산업계와 주기적으로 소통하면서 이번 이슈를 우리 산업의 사이버보안 대응력 강화와 성장의 기회로 만들도록 노력하겠다"고 했다.

minjae@news1.kr

<용어설명>

■ 미토스 쇼크
AI가 소프트웨어 취약점을 자동으로 찾아내고 공격 코드까지 생성할 수 있는 수준에 도달했다는 점에서 주목받은 모델. 기존 해킹보다 훨씬 빠른 속도로 취약점 탐색과 공격 준비가 가능해지면서 AI 기반 사이버 공격 위험을 상징하는 사례로 거론된다.

■ 제로데이 취약점
제로데이 취약점(Zero-Day Vulnerability)은 소프트웨어·하드웨어·네트워크 장비 등에서 발견되었지만 해당 제품 개발자나 일반 대중에게 아직 알려지지 않은 보안상의 결함을 의미한다. 이 취약점은 공식적으로 공개되거나 패치가 제공되기 전 단계로 방어책이 마련되지 않은 보안 위협 요소다.

■ CISO
Chief Information Security Officer(최고 정보 보안 책임자). 기업의 정보 보안 전략 수립 및 실행을 총괄하는 임원 직책. 사이버 위협으로부터 기업의 정보 자산과 시스템을 보호하고, 보안 정책 및 시스템 구축, 위기 대응 등을 책임진다. 최고 경영진에게 보안 관련 사항을 보고하고, 기업의 보안 수준을 높이는 중요한 역할을 수행한다.

Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.