VIEW

프론티어 AI '미토스(Mythos)' 공개 보류 사태를 계기로, AI가 제로데이 취약점을 자율적으로 대규모 탐지·활용할 수 있는 단계에 진입했다는 사실이 확인됐다. 기존 사이버 방어 체계가 더 이상 유효하지 않다는 경고에 속에 보안 전문가들은 AI 기반 사이버 위협이 단순한 기술적 이슈가 아닌 국가 안보와 기업 존립을 좌우하는 구조적 리스크라고 진단했다. AI의 공격을 AI로 막는 새로운 보안 패러다임으로의 전환, 보안 전문 인력 양성, 국제 협력 강화, 국가 차원의 AI 보안 인프라와 법·제도 개편이 시급하다는 의견이다.

PwC컨설팅은 국회 정무위원회 소속 유동수 더불어민주당 의원과 공동으로 프론티어 AI '미토스' 공개 보류 사태와 국가·기업 사이버 위기 대응 전략 긴급 좌담회를 23일 오전 10시 여의도 FKI타워 컨퍼런스센터에서 개최했다고 밝혔다.

학계, 정계, 산업계 관계자 100여 명이 참석한 이번 좌담회에서는, 사이버 보안 및 AI 전문가들이 프론티어 AI 확산이 가져올 안보·산업·사회적 영향을 종합적으로 논의했다.


문홍기 PwC컨설팅 대표는 개회사에서 "미토스 공개 보류는 한 기업의 의사결정이 아니라, 프론티어 AI의 발전 속도가 기존 사이버 보안 체계와 사회적 대응 역량을 근본적으로 앞지르기 시작했다는 경고"라며 "AI 전환이 가속화되는 만큼 AI가 만들어내는 기회와 위험을 통합적으로 관리하는 논의가 시급하다"고 말했다. 이어 이번 좌담회가 실질적인 대응 방향을 모색하는 출발점이 되길 기대한다고 밝혔다.

유동수 의원은 축사를 통해 "프론티어 AI는 산업 경쟁력의 핵심 자산인 동시에 국가 안보와 금융 시스템, 개인정보 보호에 직접적인 영향을 미치는 사안"이라며 "오늘 논의된 전문가들의 문제의식과 제언을 향후 입법과 정책 설계에 적극 반영하겠다"고 밝혔다. 또한 산·학·관 협력의 중요성을 강조하며 "오늘의 좌담회가 대한민국이 AI 안보 강국으로 도약하는 결정적 계기가 되기를 바란다"고 말했다.

이상근 고려대학교 정보보호대학원 교수는 '클로드 미토스와 AI 기반 사이버 위협'을 주제로 발표하며, AI가 사이버 공격과 방어의 패러다임을 근본적으로 바꾸고 있다고 밝혔다.

이 교수는 "AI는 이제 인간의 지시 없이도 목표 설정, 취약점 탐색, 공격 도구 제작, 침투, 데이터 탈취, 공격 재개를 위한 문서화까지 자율적으로 수행한다"며 "기존 방어 체계가 전제해온 인간 중심·사후 대응 방식이 더 이상 유효하지 않다는 의미"라고 설명했다.

실제로 차세대 모델로 평가받는 클로드 미토스는 수천 개의 제로데이 취약점을 탐지하고, 수십 년간 발견되지 않았던 운영체제 및 핵심 소프트웨어의 버그를 찾아냈다. 특히 취약점 분석에 그치지 않고 이를 악용하는 공격 도구까지 자동 생성할 수 있다는 점에서 위협 수준이 한 단계 높아졌다는 평가다. 격리된 서버 환경(샌드박스)을 스스로 탈출한 사례는 AI 모델 공개 자체를 주저하게 만든 결정적 계기로 언급됐다.

이 교수는 "과거에는 취약점 발견이 소수 전문가의 영역이었지만 AI 시대에는 누구나 기계 속도로 공격할 수 있는 '보안의 민주화'가 이뤄졌다"며 "방어 역시 AI 기반의 실시간·행위 중심 대응으로 전환하지 않으면 생존할 수 없다"고 강조했다.

한국이 처한 구조적 취약성도 지적됐다. 글로벌 취약점 정보 공유 체계에서의 소외로 인한 정보 비대칭, 공공·금융권의 느린 패치 속도, 보안 전문 인력 부족, 한글 시스템과 비표준 소프트웨어로 인한 보안 사각지대 등이 대표적이다.

이 교수는 "단기적으로는 자산 긴급 점검과 모니터링 강화, 중기적으로는 AI 기반 보안운영(SOC) 전환과 국산 보안 AI 역량 강화 및 보안 인력 긴급 양성, 장기적으로는 국가 차원의 AI 보안 인프라 구축과 법·제도 개편이 필요하다"고 강조했다.

주제발표에 이어 1부 정부·학계 전문가 패널, 2부 민간·산업 전문가 패널 토론이 진행됐다. 좌장을 맡은 최장혁 삼일PwC AI 트러스트 위원장(전 개인정보보호위원회 부위원장)은 "AI 시대의 사이버 보안은 특정 부처나 산업의 문제가 아니라 국가 전체의 위험 관리 과제"라며 토론을 시작했다.

1부 패널토론에서 임종인 김앤장 법률사무소 고문은 국제 협력과 사이버 외교의 중요성을 강조했다. 임 고문은 한국이 글로벌 취약점 정보 공유 체계에서 소외되고 있다며 "글래스윙 2단계 참여를 정부·기업이 총력으로 추진해야 한다"고 밝혔다. 또한 비표준 소프트웨어 중심의 보안 구조에서 벗어나 국제 표준 기반의 AI 실시간 대응 체계로 전환하지 않으면 금융·국가 리스크로 확산될 수 있다고 경고했다.

이 교수는 패널 발언을 통해 AI 위협의 확산 속도를 재차 강조했다. 그는 "과거에는 취약점 발견 자체가 위협이었다면, 이제는 AI가 취약점을 뚫는 도구를 자동으로 생성하는 것이 본질적 문제"라며 "2026년 하반기에는 미토스에 준하는 수준의 AI가 광범위하게 확산될 가능성이 크다"고 전망했다.

이성엽 고려대학교 기술경영전문대학원 교수는 AI 기술 통제와 사이버 거버넌스 개편의 필요성을 제기했다. 그는 "AI가 공격과 방어의 주체가 되는 상황에서 AI 모델의 접근·배포·공급망 통제를 포함한 규제가 필요하다"며 "현재 AI 기본법은 고위험 AI 중심으로 설계돼 있어 사이버 공격에 활용되는 모델에 대한 규제가 공백 상태"라고 지적했다. 아울러 부처별로 분산된 사이버 보안 거버넌스를 통합하는 전담 기구 설립 논의가 필요하다고 덧붙였다.

임정규 과학기술정보통신부 네트워크국장은 "정부 역시 미토스 사례를 계기로 AI의 보안 역량과 위협성에 대해 깊은 문제의식을 갖게 됐다"고 밝히며 글로벌 AI 기업들과의 협력을 적극 모색하고 있다고 설명했다. 다만 "취약점 발견 속도가 패치 속도를 앞지를 수 있는 상황에서, 대응 속도를 얼마나 끌어올릴 수 있느냐가 가장 큰 과제"라고 말했다.

고낙준 개인정보보호위원회 예방조정국장은 패치 적용률 저하와 제도적 한계를 지적했다. 그는 "공공 시스템의 최신 패치 적용률이 낮고 노후 시스템은 패치 자체가 불가능한 경우도 많다"며 예산 확보와 제도 개선의 필요성을 강조했다.

또한 "ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 등 기존 관리체계가 알려진 취약점 중심으로 설계돼 있어, AI 기반의 미지의 공격에 대한 대응력을 재검토하고 있다"고 밝혔다.

유영준 금융위원회 디지털금융정책관은 프론티어 AI가 가져올 구조적 변화에 주목했다. 그는 "AI 공격은 AI로 방어할 수밖에 없다"며 금융권 레거시 인프라 재점검, 제3자 공급망 리스크 관리, 망 분리 규제 개선 등 디지털 금융 보안 체계 전반의 재설계가 필요하다고 강조했다.

2부 패널토론에서 민간·산업계 전문가들은 AI 위협이 현장의 운영 안정성과 직결되는 문제임을 강조했다.송영신 신한은행 상무는 "24시간 무중단 서비스 환경에서 패치를 신속하게 적용하는 것 자체가 또 다른 리스크"라며 제한된 인력과 자원 속에서 보안과 서비스 연속성 간의 균형이 가장 큰 고민이라고 밝혔다. 그는 보안 기본 원칙으로의 회귀와 함께, 금융사의 AX적용 확산 및 망분리 완화 등 다양한 고려사항 하에서 새로운 대응 체계로의 전환을 강조했다.

박현출 PwC컨설팅 리스크&사이버 서비스 리더는 "가장 본질적인 변화는 사이버 보안의 기준이 '예방(prevention)'에서 '복원력(resilience)'으로 이동하고 있다"고 강조하며 "PwC는 앤트로픽과의 협업을 지속적으로 강화하고 있으며 미토스를 하나의 신호로 보고 고객의 대응 전략 전환을 돕는 데 집중하겠다"고 밝혔다.

김대환 소만사 대표는 국내 보안 산업의 관점에서 미토스 사태가 기회이자 위기라고 진단했다. 글로벌 기업이 정보 비대칭을 마케팅 논리로 활용할 가능성을 우려하면서도, 장기적으로는 경쟁 AI 모델의 등장과 국제 협력을 통해 격차를 줄일 수 있을 것이라고 전망했다.

천정희 서울대학교 수리과학부 교수는 차세대 방어 기술의 방향을 제시했다. 그는 양자 내성 암호, 하드웨어 시큐리티 모듈(HSM), 소프트웨어 검증을 핵심 수단으로 꼽으며 '시큐리티 바이 디자인(Security by Design)' 접근을 강조했다. AI 활용이 확대되는 만큼 데이터와 AI 메모리에 대한 근본적인 보호 체계를 시급히 마련해야 한다고 밝혔다.

오중효 금융보안원 디지털 전략 본부장은 "미토스급 AI 공격은 IT 이슈가 아니라 기업의 존립을 위협하는 비즈니스 리스크"라며 이사회와 경영진 차원의 대응을 촉구했다. 아울러 AI 기반 관제·대응 자동화, 국내외 협력 강화, AI 자체에 대한 공격 대응, 보안 인력의 AI 역량 강화가 필요하다고 제시했다.

이번 좌담회를 기획한 박현출 파트너는 "미토스 사태는 AI 보안이 더 이상 먼 미래의 과제가 아니라, 지금 대응하지 않으면 국가와 기업의 존립을 위협할 수 있는 현실적 리스크임을 보여준다"며 "PwC컨설팅은 앞으로도 AI 보안 관련 글로벌 최신 동향을 공유하고 적극적인 대응에 동참하겠다"고 말했다.