PCAView

앤스로픽발 해킹 우려 확산

미국 인공지능(AI) 기업 앤스로픽이 차세대 AI ‘클로드 미토스(이하 미토스)’를 공개한 7일 이래, 해킹을 막도록 개발된 AI가 외려 ‘특수부대급’ 해커가 될 수 있다는 ‘미토스 쇼크’가 전 세계에 다양한 파장을 낳고 있다. 우선 미 행정부의 입장 선회다. 16일(이하 현지시간) 블룸버그 등 외신은 미 백악관 관리예산국(OMB)이 미토스를 정부 기관이 사용할 수 있게 하는 방안을 마련 중이라고 보도했다. 보도에 따르면 그레고리 바바시아 OMB 최고정보책임자(CIO)는 최근 각 부처에 이메일을 보내 “앤스로픽과 업계 파트너, 정보당국과 긴밀히 협력해 미토스 수정 버전을 정부 기관에 제공하기 전에 적절한 보안규정과 안전장치를 마련할 것”이라고 밝혔다.

이메일에서 미토스 수정 버전의 도입 시기나 사용법 등에 대한 구체적 언급은 없었다. 다만 샘 코코스 미 재무부 CIO가 이끄는 기술팀이 미토스 접속 권한을 얻기 위해 앤스로픽 측과 논의했다고 블룸버그는 14일 보도했다.

미 연방정부는 한때 앤스로픽을 공급망 위험 기업으로 지정하고 퇴출하려 한 바 있다. ‘합법적인 모든 목적’을 위한 AI 사용 권한을 달라는 미 국방부 요구를 앤스로픽이 거부하면서 트럼프 행정부에 밉보였다. 양측은 소송전 중이다.

미토스, 27년 철옹성 ‘오픈BSD’ 결함 발견

그래픽=이윤채 기자

미 행정부가 앤스로픽의 AI를 다시 사용하겠다고 한 건, 결국 성능 때문이다. 앤스로픽은 7일 미토스 프리뷰 버전을 공개하면서 이 모델이 소프트웨어 취약점을 발견하는 데 있어 고도의 숙련자를 제외한 대부분의 사람을 능가하게 됐다고 밝혔다. 정보기술(IT) 업계에 따르면 미토스는 철통 보안의 대명사로 통하는 운영체제(OS) ‘오픈BSD’에서 27년간 발견되지 않았던 시스템 결함을 찾아낸 것은 물론, 침투 경로까지 설계했다. 컴퓨팅 비용은 2만 달러(약 3000만원), 모델 실행 비용은 회당 50달러(약 7만원) 수준에 불과했다. 특히 사람의 개입 없이 자율로 복수의 취약점을 찾아 연결해 공격하고 해킹 활동 흔적을 지우기까지 했다.

김경진 기자

앤스로픽은 미토스가 해커 손에 들어가서 악용될 가능성을 우려해 일반 공개 대신, 소수 빅테크에만 선별적으로 제공해 취약점을 고치겠다는 입장을 발표했다. 아마존·애플·구글·마이크로소프트 등이 참여하는 사이버보안계획 ‘프로젝트 글래스윙’ 등이다.

이런 가운데 각국이 ‘AI가 보안 위협인 동시에 해결책이 되는’ 현실에 대한 점검에도 들어갔다. 스콧 베센트 미 재무장관과 제롬 파월 연방준비제도(Fed) 의장은 해킹 공격의 최우선 타깃이 될 수 있는 월가 대형 은행 경영진을 긴급 소집했다. 유럽중앙은행(ECB)도 각 은행에 미토스 리스크에 대해 질의할 준비에 들어갔다. 영국 정부는 15일 주요 기업에 공개서한을 보내 미토스 리스크를 경고했다.

베센트(왼쪽), 파월.

프랑수아-필립 샴페인 캐나다 재무장관은 BBC 방송과의 인터뷰에서 “이번 주 워싱턴 DC에서 열린 국제통화기금(IMF) 회의에서 미토스가 집중적으로 논의되었다”고 전했다. 그는 “호르무즈 해협은 위치와 규모를 우리가 알고 있지만, 앤스로픽과 관련된 이 문제는 ‘미지의 미지(unknown unknown)’라는 점이 다르다”며 “금융 시스템의 복원력을 확보하기 위한 안전장치와 프로세스를 갖추는 데 많은 노력을 기울이고 있다”고 말했다. 한국 정부도 부산하게 움직이고 있다. 과학기술정보통신부는 14일(한국시간)부터 SK텔레콤·KT·LG유플러스·네이버·카카오·우아한형제들·쿠팡 등 IT 관련 기업의 정보보호최고책임자(CISO)를 소집해 긴급 현안 점검 회의를 열었다. 금융위원회도 은행·보험 업계와 대책을 논의했다.

문제는 미토스만이 아닐 것이란 점이다. 미토스 접근 권한을 얻어 유일하게 독립 보고서를 낸 영국 AI안전연구소(AI Security Institute)는 “미토스가 보안이 취약한 시스템을 악용할 수 있음을 확인했으며, 향후 이러한 능력을 갖춘 모델들이 더 많이 개발될 가능성이 크다”고 전망했다. 실제 BBC는 금융권 소식통을 인용, 미국의 또 다른 유명 AI 기업 역시 조만간 비슷한 성능을 가졌으나 안전장치는 미흡한 모델을 출시할 가능성이 있다고 보도했다. 볼더튼 캐피털의 파트너인 제임스 와이즈는 “미토스가 시스템 취약점을 노출할 수 있는 수많은 강력한 모델 중 첫 번째 사례일 뿐”이라고 말했다.

“시스템 위험 노출할 모델 중 첫 사례일 뿐”
한편 현재까지 한국에서 미토스 접속 권한을 얻은 기업은 없는 것으로 알려졌다. 박기웅 세종대 정보보호학과 교수는 “미토스 쇼크는 과거와 달리 해킹에 대한 전문성이 없거나 숙련도가 낮은 조직·개인도 AI로 해킹 공격에 나설 수 있는 환경으로 바뀌었음을 의미한다”며 “금융·통신·국방 등 국가 인프라 영역에서 과거보다 훨씬 위험한 상황이 발생할 수 있다”고 말했다. 최병호 고려대 휴먼인스파이어드AI연구원 교수는 “기존 보안 패턴을 뛰어넘어 사람처럼 추론하고 공격하는 미토스 식의 AI 해킹엔 사람이 대응할 수 없고 AI가 대응해야 한다”며 “정부가 업계와 긴밀히 협업해 AI 공격을 AI로 방어하는 대응 체계를 국가 차원에서 하루빨리 수립해야 한다”고 조언했다.

VIEW

‘미토스 쇼크’에도 입장 바꾼 백악관, 보안 강화해 일단 쓴다

댓글 (0)

오픈ai의 다른 소식

“시리, 이대로 두면 망해” 수장까지 잘랐다…개발팀 전원에 AI 코딩 재교육 돌입한 애플

[데스크 칼럼] “당신들은 너무 느리다”는 젠슨 황의 일침

‘초강력 AI 해커’ 충격파 확산… 각국 경제수장들 “은행 시스템 위협” 경고

AI가 금광과 같은 이유

"금보원, AI 레드티밍때 전통 보안 영역 더 많이 봐"

신세계가 열흘만에 오픈AI 협업 계획 뒤집은 이유

[유미's 픽] 챗GPT·제미나이, HWP 읽는다…한컴, 'AI 문맹' 오명 벗고 재도약 시동

"오픈AI 대신 리플렉션AI"…신세계그룹의 선택과 집중

오픈AI, '한글' 문서 지원 확대…챗GPT 국내 업무 활용성 강화

신세계, 리플렉션AI 협업...열흘 만에 갈아탄 동맹