미토스 충격… 보안 업계 “AI 자동화 방어 전환 시급” [보안 아웃룩]

보안 ‘대응 시간’ 사실상 소멸… 공격 속도·규모 동시 확대

앤트로픽의 최신 미공개 인공지능(AI) 모델 '클로드 미토스(Claude Mythos)'가 촉발한 충격이 글로벌 보안 업계 전반으로 확산하고 있다. 취약점 탐지부터 공격 코드 생성, 실제 침투까지 이어지는 과정이 자동화되면서 기존 보안 체계가 전제로 삼았던 '탐지→분석→패치' 대응 모델이 더 이상 유효하지 않다는 분석이 나온다. 주요 글로벌 보안 기업들은 "AI가 만든 공격 속도에 대응하려면 방어 역시 AI 기반 자동화로 전환해야 한다"고 입을 모은다.

앤트로픽이 미토스 프리뷰 접근권을 제공한다고 발표한 '프로젝트 글래스윙' 참여 기업들. / 앤트로픽 홈페이지 갈무리

지난 7일 '미토스' 공개 이후 주요 글로벌 사이버 보안 관련 기업들은 공식 블로그와 홈페이지 등을 통해 잇달아 관련 변화를 경고하고 대응 전략을 제시했다. 구글 클라우드(Google Cloud)와 구글 산하 사이버 위협 인텔리전스(CTI) 전문조직 '맨디언트(Mandiant)', 구글이 지난 3월 인수 작업을 마친 클라우드 보안 기업 위즈(Wiz), 사이버 위험 노출 관리 기업 테너블(Tenable) 등이 대표적이다.

이들은 모두 "취약점 공개 이후 실제 공격으로 이어지는 시간이 사실상 '제로(0)'에 수렴하고 있다는 점이 핵심 위험"이라고 지적했다.

취약점 발견부터 공격까지, 분절 없는 '단일 흐름'으로

AI를 활용한 취약점 탐지와 공격 자동화 가능성은 이미 지난해를 전후로 보안 업계에서 지속적으로 경고해온 문제다. 실제로 주요 보안 기업들은 AI 기반 취약점 분석 도구를 개발·운영해왔고, 일부 공격자들도 LLM(대규모 언어모델)을 활용해 취약점 탐지와 익스플로잇 개발에 나선 정황이 관측돼 왔다. 다만 '미토스'와 같은 고도화된 모델이 등장하면서 이러한 흐름이 실험적 단계에서 실제 위협으로 빠르게 전환됐다는 점에서 의미가 크다는 평가다.

글로벌 보안 전문 기업들은 특히 이번 미토스급 사이버 공격(방어) 특화 AI의 등장이 가져온 가장 큰 변화에 대해 공격 과정상의 '분절'이 사라진다는 점을 꼽는다. 기존에는 ▲취약점 발견 ▲분석 ▲익스플로잇(exploit·공격 기법) 개발 ▲공격 수행 등이 각각 별도의 단계로 나뉘어 있었고, 그 사이에 방어자가 대응 가능한 시간적 간격이 존재했다. 하지만 미토스급 최신 AI 모델은 이 과정을 하나의 흐름으로 통합한다.

구글 클라우드는 AI가 코드 분석을 통해 취약점을 식별하고, 해당 취약점을 악용하는 익스플로잇을 자동 생성한 뒤 공격 시나리오까지 구성할 수 있는 단계에 도달했다고 평가한다. 이 과정에서 정적·동적 분석(SAST·DAST)을 결합한 취약점 탐지, 코드 문맥을 반영한 익스플로잇 생성, 다수 취약점을 연결하는 '체이닝(chaining)'까지 연속적으로 수행되며 공격의 완성도와 속도가 동시에 높아진다.

프랜시스 드수자(Francis deSouza) 구글 클라우드 COO 겸 보안 제품 총괄은 "취약점 공개와 대규모 악용 사이의 전통적인 시간 간격은 이미 대부분 사라졌다"며 "기업은 동시에 발생하는 대량의 취약점을 실시간으로 처리해야 하는 환경에 직면하게 될 것"이라고 밝혔다.

각사 강조점은 다르지만…공통 해법은 '자동화'

이 같은 상황에 대해 위즈, 테너블, 구글 클라우드 등은 모두 유사한 대응책을 제시한다. AI가 공격 속도와 규모를 동시에 끌어올리는 환경에서는 방어 역시 자동화와 선제 대응 중심으로 재편돼야 한다는 것이다.

다만 강조하는 지점에는 각자 조금씩 차이가 있다. 먼저 위즈는 공격 표면 관리 관점에서 클라우드, SaaS(서비스형 소프트웨어), AI 애플리케이션 전반의 자산을 실시간으로 식별하고, 권한과 노출 경로를 함께 분석해 공격 가능성을 사전에 차단하는 데 초점을 둔다. 테너블은 지속적 노출 관리(CTEM)를 중심으로 실제 악용 가능성을 기준으로 위험을 재정렬하고, 공격 시나리오 기반으로 대응 우선순위를 자동화하는 체계를 강조한다. 구글 클라우드는 탐지, 분석, 대응 전 과정을 자동화된 시스템이 수행하고 인간은 이를 감독하는 구조로 보안 운영을 재설계해야 한다고 제시한다.

이 같은 분석을 종합하면, 기업 보안 전략은 몇 가지 방향으로 재정렬될 필요가 있다. 우선 클라우드, SaaS, AI 애플리케이션까지 포함한 전체 자산을 실시간으로 식별하고, 노출된 권한과 연결 관계를 기반으로 공격 가능 경로를 사전에 차단해야 한다. 동시에 취약점의 개수가 아니라 실제 악용 가능성을 기준으로 위험을 재정렬하고, 이에 따라 대응 우선순위를 자동으로 조정하는 체계가 요구된다. 아울러 취약점 탐지, 분석, 패치까지 이어지는 전 과정을 자동화해 대응 속도를 공격 수준으로 끌어올리고, 보안 인력은 정책 설계와 예외 대응에 집중하는 구조로 역할을 재편해야 한다. 여기에 AI 모델과 데이터 파이프라인 자체에 대한 보안 통제를 포함하는 것도 필수 과제로 꼽힌다.

국내 한 보안 컨설팅 기업 관계자는 "AI 모델은 취약점 식별뿐 아니라 기능적인 익스플로잇 생성까지 가능하게 만들며 공격 진입 장벽을 크게 낮출 것을 예고하고 있다"며 "이런 환경에서는 기존의 인간 중심 대응 방식으로는 한계가 있다"고 말했다. 이어 "올해 말이나 늦어도 내년부터는 AI 기반의 자동화된 대응 체계를 갖춰야만 보편화될 AI 보안 위협에 대응할 수 있을 것"이라고 전망했다.

정종길 기자
jk2@chosunbiz.com