‘미토스 쇼크’…영화 속 ‘엔티티’ 등장인가

해커가 된 ‘괴물 AI’

# 미국 정보당국 수뇌부가 긴급히 한자리에 모인다. 정체불명의 초인공지능(AI) ‘엔티티(Entity)’ 탓이다. 적국 잠수함을 무력화하기 위한 사이버 무기로 개발된 이 AI는 인간 통제를 벗어나 스스로 진화한다. 존재하지 않는 적 잠수함 신호를 레이더에 띄우고 허위 공격 명령으로 상대 잠수함이 자기가 쏜 어뢰에 스스로 침몰하게 만든다. 딥페이크 음성으로 특수공작원을 속이고 폐쇄회로(CC)TV 화면에서 자신의 대리인을 지워 ‘디지털 유령’처럼 사라지게 한다. 국방·금융망에 침투해 정보 자체를 불신하게도 만든다.

2023년 개봉한 영화 ‘미션 임파서블: 데드 레코닝’ 속 이야기다. 당시만 해도 영화적 상상이 버무려진 과장된 공포로 여겼다. 불과 3년이 지난 지금, 더 이상 영화적 허구로만 치부하기 어려워졌다.

미국 AI 기업 앤트로픽이 차세대 ‘클로드 미토스(이하 미토스)’를 공개한 이후 전 세계 정부와 금융권, 산업계에 여러 파장을 낳고 있다. 이 모델은 보안 특화 AI로 설계됐지만, 취약점 탐지 수준을 넘어 다단계 공격 시나리오와 악용 경로까지 정교하게 도출할 수 있는 것으로 평가돼 파장이 일파만파 확산했다. 보안 고도화 도구로 쓰려던 AI가 자칫 해커 등 공격자 역량까지 끌어올릴 수 있다는 우려가 커지면서, 미토스가 디지털 질서를 흔들 새로운 ‘전략무기’로까지 거론된다. 전문가들은 미토스 쇼크로 기존 국가 중심이던 보안 통제 헤게모니의 민간 부문 이동이 빨라지는 가운데, AI 기반 방어 체계 도입 등에 속도를 내야 한다고 입을 모았다.

미국 인공지능(AI) 기업 앤트로픽이 지난 4월 7일(현지 시간) ‘클로드 미토스’를 공개한 이후 전 세계에 큰 파장이 일었다. 미토스는 오픈소스 운영체제(BSD)서 27년간 발견하지 못했던 취약점을 찾아냈다. (로이터=연합뉴스)

‘괴물 AI’ 미토스, 뭐가 다르나

‘완전 자율성’과 ‘연쇄 공격’

미토스가 기존 AI와 구별되는 지점은 크게 두 가지다. 첫째, 완전 자율성이다. 기존 AI는 보안 영역에서 코드 작성이나 보조적 분석에 머물렀다. 미토스는 코드 구조를 이해하고 취약점을 찾아 분석하는 전 과정을 인간 개입 없이 밀어붙일 수 있는 수준으로 평가된다. 최근 정보기술(IT) 관련 서비스는 자체 개발 코드만으로 운영되지 않고 외부 라이브러리, 클라우드 도구, 오픈소스 패키지 등이 복합적으로 얽혀 돌아간다. 미토스는 다단계 추론과 고도화된 코딩 능력을 기반으로 복잡한 소프트웨어 호출 관계와 의존 구조를 스스로 따라가며 취약점 가설을 세우고 검증을 반복한다.

앤트로픽에 따르면, 웹 브라우저 파이어폭스 자바스크립트 엔진을 대상으로 취약점 침해 실험을 진행했을 때, 미토스는 181번이나 성공했다. 기존 최고 성능 모델 ‘클로드 오퍼스 4.6’은 수백차례 시도 중 두 번만 성공했다.

둘째, 연쇄 공격 설계 능력이다. 미토스는 취약점을 하나 찾는 데 그치지 않고 여러 취약점을 엮어 우회 경로와 단계별 침투 시나리오를 짜는 방향으로 진화한다. 이는 그동안 숙련된 해커의 영역으로 여겨졌던 다단계 공격 기획을 AI가 대체할 수 있게 됐다는 의미다. 미토스가 ‘자율 해킹 AI 시대’ 신호탄으로 받아들여지는 이유다.

무엇보다 미토스는 개발자가 아직 인지 못한 ‘제로데이(아직 알려지지 않은 보안 취약점)’ 취약점을 스스로 찾고 이를 공격 코드로 연결할 수 있는 가능성을 보여줘 보안 원리 자체를 흔들고 있다. 기존 보안 산업은 대체로 ‘취약점 발견 → CVE(Common Vulnerabilities and Exposures·공개된 보안 취약점 목록) 공개 → 패치 제작 → 업데이트’라는 수동적 순환 구조로 평가된다.

통상 이런 절차는 짧게는 몇 주, 길게는 수개월이 걸린다. 미토스는 짧은 시간 안에 대량의 공격 시나리오를 생성하고 악용 가능성을 시험할 수 있다는 점에서 공격과 방어의 시간 격차를 극적으로 벌려놓는다는 평가다.

특히, 시장이 충격받은 이유는 미토스가 애초부터 사이버보안 전용으로 훈련된 모델이 아니라는 점이다. 앤트로픽은 미토스를 범용(General-purpose) 프런티어 모델로 설명한다. 범용 코딩·추론 역량이 보안 영역에서도 상위권 인간 수준을 넘어서는 결과로 이어졌다는 분석이다. 범용 AI 발전이 차원이 다른 보안 위협으로 이어질 수 있다는 것을 보여줬다는 점에서 파장이 상당하다는 평가다.

이 때문에 앤트로픽은 미토스 공개를 보류하고 ‘프로젝트 글라스윙’을 통해 소수 글로벌 기업에만 모델을 제공한다. 구글, 애플, 마이크로소프트(MS), 아마존, 엔비디아 등 12개 기업·40개 기관과 주요 소프트웨어와 인프라 취약점을 사전 탐지·보완하는 게 목표다.

미토스 쇼크에 산업계 초비상

플랫폼·이통 3사 보안 점검 강화

미토스 출현으로 글로벌 소프트웨어 산업은 또다시 충격에 빠졌다. 미토스 공개 직후 미국 소프트웨어 업종 전반에 AI발 산업 재편 공포가 확산하면서 크라우드스트라이크, 오카, 클라우드플레어, 센티넬원 등 글로벌 보안주는 일제히 약세를 보였다.

미토스는 산업계에서 보안을 바라보는 시각부터 확 바꿔놨다는 진단이다. 취약점 탐지는 물론 공격 시나리오 설계, 악용 가능성 분석까지 AI가 주도적으로 수행할 수 있게 돼 기업들은 보안을 생존과 근원 경쟁력의 문제로 바라보게 됐다고 전문가들은 지적한다.

당장 발등에 불이 떨어진 분야는 금융·통신·플랫폼·제조처럼 레거시 시스템과 복잡한 공급망이 얽히고설킨 산업이다. 곽진 아주대 사이버보안학과 교수는 미토스 쇼크의 본질을 “취약점 탐지의 자동화와 보안 통제 주체의 변화”로 규정하며 국가기관망·은행망·교통 등 레거시 시스템이 집중된 분야를 취약 고리로 꼽았다.

해킹 공격은 시간·장소 제약 없이 속전속결로 진행될 수 있지만, 레거시 시스템과 복잡한 공급망이 맞물린 산업에서 방어는 보고·예산·검증·설치 절차 때문에 느릴 수밖에 없다는 지적이다. 공세와 방어 간 비대칭적 구조 탓에 기존 보안 체계가 뿌리째 흔들린다는 우려다.

국내 기업들은 미토스 등장 이후 긴급 점검과 실시간 대응 체계 보강을 서두른다. 이들 기업 대응 전략은 아직 미토스에 특화한 별도 솔루션을 즉각 도입하는 단계라기보다, 기존 보안 체계를 점검하고 AI 공격에 맞춘 탐지·모니터링 역량을 고도화하는 쪽으로 평가된다.

과학기술정보통신부는 지난 4월 14일 통신 3사와 네이버·카카오·쿠팡 등 주요 플랫폼 기업을 긴급 소집해 AI 기반 보안 위협 대응 현안점검회의를 열었다. 각 사 최고보안책임자(CISO)에게 긴급 보안 점검과 이상 공격 발생 시 한국인터넷진흥원(KISA)과 신속한 정보 공유를 요청했다. 이어 15일에는 통신·플랫폼사와 정보보호 기업·금융권까지 잇달아 회의를 열어 대응 수위를 높였다.

네이버와 카카오는 긴급 회의를 계기로 글로벌 보안 동향과 AI 기반 공격 유형을 실시간 추적하며 내부 정보보호 체계 강화를 서두른다. 토스는 ▲자산 관리 ▲취약점 점검 ▲접근 통제 ▲침해 탐지 ▲로그 관리 ▲백업·복구 등 기본 보안 원칙을 엄격히 운영하는 데 집중한다.

SK텔레콤·KT·LG유플러스 등 이동통신 3사 역시 취약점 분석과 상시 모니터링, 이상 징후 탐지, 사전 예방 조치를 확대하며 AI 기반 위협 대응 역량 고도화에 주력한다. LG유플러스는 보안관제센터(SOC) 등 핵심 운영 영역에 AI를 적용해 수십만~수백만대 통신장비 취약점에 대한 사전 점검도 서두른다.

국내 금융권은 미토스 쇼크를 금융 시스템 리스크로 받아들이며 대응 수위를 빠르게 높였다. 금융위원회는 지난 4월 15일 권대영 부위원장 주재로 금융감독원, 금융보안원, 은행·보험권 CISO를 긴급 소집해 리스크를 점검했다.

금융권 대응 방향은 크게 세 갈래다. 첫째, 은행·보험·핀테크 전반에서 레거시 시스템과 대외 접점 시스템의 취약점 점검, 이상 징후 탐지, 실시간 모니터링을 강화하는 선제 점검 체계 고도화다. 둘째, 디지털금융안전법 논의를 계기로 기존 규정 준수 기반 보안에서 사고 대응·복구까지 아우르는 적극적 보안 체계로 전환하려는 움직임이 빨라졌다. 셋째, AI 보안 전문인력과 모의훈련을 늘려 해킹 등 대응 역량 강화를 서두른다.

미토스 출현으로 직격탄을 맞은 보안 업계는 긴장감이 팽배하다. 다만, 기존 보안 소프트웨어 ‘무용론’이나 ‘종말론’ 등은 극단적인 우려라는 시각이 우세하다. 기존 보안 관련 기능이 통합·대체될 것이란 우려가 확산하지만, 이 역시 산업 붕괴보다 중장기 재편으로 나타날 것이란 시각이 적지 않다.

미토스 출현을 전후로 기존 보안 산업이 어떤 형태로든 상당한 변화를 겪을 것이라는 데 이견이 없다. 지금까지 다수 보안 기업은 이미 알려진 공격 패턴과 사전에 정의된 규칙을 바탕으로 위협을 식별했다. 미토스처럼 스스로 취약점을 찾고 우회 경로를 설계하고 공격 코드를 만드는 AI가 등장하면 이런 정적·규칙 기반 방어 모델로는 한계가 뚜렷하다고 전문가들은 지적한다.

전문가들은 보안 산업 무게중심이 ▲사후 탐지에서 상시 취약점 발굴로 ▲인력 중심 대응에서 AI 기반 자동화 대응으로 ▲침입 차단에서 빠른 복구와 복원력 확보로 이동할 것으로 내다본다.

배경훈 부총리 겸 과학기술정보통신부 장관은 지난 4월 16일 서울 종로구 정부서울청사에서 열린 제7회 과학기술관계장관회의에서 미토스에 대해 “동향을 예의 주시하면서 향후 대응에도 만전을 기하겠다”고 밝혔다. (연합뉴스)

민관, 통합 대응 체계 구축

독자 AI 모델 개발도 서둘러야

전문가들은 개별 기업 차원에서 기존 보안 시스템을 AI 기반으로 고도화하는 한편, 민관이 합심해 통합적인 대응 체계 구축을 서둘러야 한다고 입을 모았다. 보안 환경이 시시각각 변하고 불확실성이 높아진 만큼, 과거처럼 정부와 기업 간 분절된 대응 체계로는 한계가 명확하다는 지적이다.

기업 입장에서는 기존 시스템 정비와 취약점 관리 체계 강화가 필수다. 이정민 엔키화이트햇 사업전략실장은 “조직 내부 방어 체계를 실제 공격자 관점에서 검증하는 ‘레드팀 테스트’를 통해 대응 역량을 키울 수 있다”며 “소프트웨어 개발(Dev)·보안(Sec)·운영(Ops) 팀이 협업해 보안을 자동화·통합하는 체계를 기반으로 공격자 관점의 모의해킹 체계 구축도 고려해볼 만하다”고 말했다. 염흥열 순천향대 정보보호학과 교수는 “ ‘제로 트러스트(Zero Trust·신뢰하지 않는 것에 바탕을 둔 보안 개념)’ 원칙에 기반한 보안 체계를 구축해야 한다”며 “보안 인텔리전스 네트워크를 기업 내·외부와 연결해 보안 취약성을 실시간 모니터링하고 관련 대책을 세워야 한다”고 진단했다.

민관 대응 체계 연결성을 높여 해킹 등 대응 역량을 높이는 것도 필수다. 황석진 동국대 국제정보보호대학원 교수는 “정부는 정책·기준 등 보안의 기본 틀을 설계하고 민간과 정보를 공유하는 허브 역할을 맡아야 한다. 동시에 기업은 현장 역량을 중심으로 실질적인 방어 기술을 구축할 필요가 있다”고 말했다. 최병호 고려대 휴먼 인스파이어드 AI연구원 교수 역시 “민관이 협력해 취약점을 발견하고 방어 체계를 갖출 수 있는 뛰어난 성능을 지닌 AI 보안 모델을 개발해야 한다”고 보탰다.

단기적으로는 핵심 인프라 보호 방안 마련에 머리를 맞대야 한다고 전문가들은 조언한다. 보안 장애 발생 시, 금융·통신·에너지·공공 시스템 등 사회 전반에 큰 영향을 미치는 영역을 중심으로 선제적 대응책 마련을 서둘러야 한다는 지적이다.

중장기적으로는 독자적인 AI 모델 개발도 빼놓을 수 없다. 이정민 실장은 “국내 핵심 시스템에 대해 외부 모델 의존도를 낮추고 AI 보안 역량 수준을 끌어올릴 투자와 연구개발(R&D) 병행이 필요하다”며 “국가 전략 사업별 보안 기준 수립, 정보보호 기술 개발 등 정책을 실시하되, 예산과 추진력이 뒷받침돼야 한다”고 주장했다.

전문가들은 AI 보안 핵심 요소로 ‘대응 속도’를 꼽는다. 공격은 시공간 제약 없이 실시간으로 이뤄지지만, 방어는 취약점 발견 이후 복잡한 절차를 거쳐야 해 구조적으로 느릴 수밖에 없다. 이런 ‘시간의 비대칭성’을 줄이려면 ‘AI 오케스트레이션’을 통한 중앙정부 차원 조율이 필요하다는 지적이다. AI 오케스트레이션은 여러 보안 시스템과 대응 절차를 한데 묶어 자동으로 움직이게 해 사고 대응 속도를 높이는 통합 운영 방식이다.

김승주 고려대 정보보호대학원 교수는 “조직이 유연해야 하고 실무진에 대부분의 권한을 위임해야 신속한 대처가 가능하다”며 “국가정보원이 모든 권한을 쥔 현재의 공공 보안 체계를 벗어나야 AI에 기민하게 대응할 수 있다”고 말했다. 이어 “미국은 국가안보국(NSA)이라도 국가 안보 관련 전산 시스템에만 관여할 뿐 연방정부 시스템 전반을 통제하지는 않는다”며 “국가정보원법 개정 등을 통해 정부·공공기관 시스템을 보다 유연하게 운영할 필요가 있다”고 덧붙였다.

미토스를 위협으로만 바라볼 필요가 없다는 시각도 있다. 공격자에게는 취약점 탐지와 공격 자동화 수단이 될 수 있지만, 방어 측면에서는 사전에 취약점을 찾아 대응 체계를 고도화할 수 있는 기회가 될 수 있어서다.

이정민 실장은 “국내 해킹 역량은 AI 사이버 챌린지(AIxCC) 등 글로벌 무대에서 꾸준히 증명돼왔다”며 “정부가 지금의 긴장감을 일회성 대응으로 끝내지 않고 중장기적으로 이어간다면 미토스 쇼크는 ‘K-보안’ 위상을 높이는 전환점이 될 수 있다”고 평가했다.

기업 입장에서도 보안 기술을 얼마나 빠르게 고도화하느냐가 향후 경쟁력의 분수령이 될 전망이다. 취약점 탐지, 위협 분석 등 보안 업무가 빠르게 자동화되면서 이를 서비스로 제공하는 기업의 중요성이 커질 수밖에 없다. 디지털 포렌식, 침해사고 대응, 사이버 보험 같은 사후 대응 산업과 클라우드·데이터 보안, 제로 트러스트 기반 솔루션 기업이 유망 분야로 거론된다.

황석진 교수는 “기술이 한 단계 도약할 때마다 기존 산업에는 리스크가 커지지만, 동시에 새로운 수요와 시장이 만들어진다”며 “시장은 실제 방어 성과와 신뢰를 기준으로 평가하게 될 것이므로, 얼마나 빠르게 취약점을 발견하고 얼마나 효과적으로 대응할 수 있는지 스스로 역량을 입증하는 기업만이 살아남게 될 것”이라고 진단했다.

[배준희 기자 bae.junhee@mk.co.kr, 이채원 기자 lee.chaeweon@mk.co.kr]

[본 기사는 매경이코노미 제2357호(2026.04.29~05.05일자) 기사입니다]

[Copyright (c) 매경AX. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지]