[미토스 충격] 아마추어 해커를 ‘프로’ 만들어”... 보안 전문가들 경고

영국 AISI, OWASP 등 주요 보안 관련 단체들 공동 보고서 발간
미토스, 고난도 해킹 과제 통과한 첫 AI 모델

[보안뉴스 김형근 기자] 앤트로픽의 신형 모델 ‘클로드 미토스’(Claude Mythos)가 해킹 기술 장벽을 무방비 수준으로 낮추고 있다는 경고가 나왔다.

[출처: 연합]

영국 AI보안연구소(AISI)와 OWASP, 샌스인스티튜트(SANS) 등이 공동 발표한 ‘AI 취약점 폭풍: 미토스에 대비한 보안 프로그램 구축’ (The “AI Vulnerability Storm”: Building a “Mythosready” Security Program) 보고서에 따르면, 관료주의와 지나친 신중함 때문에 기업 AI 도입이 늦어지는 사이 공격자들은 AI를 활용해 ‘비대칭적 이득’을 취하고 있다.

취약점 발견 비용이 급감하고 취약점 공개 후 무기화까지 걸리는 시간이 거의 제로에 수렴하고 있다는 것이다.

또 미토스는 단순 도구 활용 수준에 그치던 초보 해커들에게 중급 해커 수준의 정밀한 공격 코드를 제공, 해킹 숙련도에 따른 기술적 격차를 허물어뜨려 공격 능력을 전반적으로 상향 평준화시켰다.

▲주요 AI 모델의 CTF 과제 성공률 [출처: ASIS]

미토스는 과거 어떤 AI 모델도 통과하지 못한 전문가 수준의 해킹 과제 ‘캡처 더 플래그’(CTF) 문제들 중 73%를 해결했다. 기업 네트워크를 모방한 32단계 공격 시뮬레이션에서도는 평균 24단계를 돌파하며 이전 모델의 한계를 넘어섰다. 이전 모델들은 16단계 통과에 그쳤다.

AISI 연구진은 미토스가 소규모, 또는 보안이 취약한 기업 네트워크를 전체 장악할 수 있는 수준에 도달했다고 평가했다.

다만 실제 운영기술(OT) 냉각탑 공격 테스트에선 실패했다. 방어자가 보안 솔루션을 갖추고 활발히 활동하는 실제 환경에서도 공격에 성공할 수 있을지는 여전히 검증이 필요하다.

보안 전문가들은 미토스가 최근 10년간 방치된 낡은 펌웨어나 라우터 같은 ‘기술적 부채’를 무기화하고 있는 점을 심각한 우려로 꼽았다.