7만원에 '27년 된 보안망' 뚫은 미토스…쇼크와 AI 양극화 [주말 Q&A] 

이혁기 기자 2026. 5. 2. 17:55
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
더스쿠프 주말 Q&A
보안 업계 충격 안긴 AI ‘미토스’
명령어 한줄로 철통 보안망 뚫어
공격 코드 만드는 자율성도 존재
한국 정부와 금융권 ‘비상 점검’
앤트로픽, 일부 기업에만 공개
미래 보안 양극화 더 심해질까

앤트로픽의 최신 인공지능(AI) '미토스'가 세계 보안 시장을 뒤흔들고 있다. 비용 몇만원이면 철통같은 보안망을 손쉽게 뚫어내고 공격 코드까지 스스로 만들 수 있어서다. 이 때문에 전세계 보안 업계에 비상이 걸렸지만, 대비책을 세울 수 있는 곳은 극소수에 불과하다. 현재 미토스에 접근 가능한 건 일부 글로벌 빅테크와 미국 기관뿐이다.

앤트로픽의 생성형 AI '미토스'가 보안 시장의 화두로 떠올랐다.[사진 | 연합뉴스, 더스쿠프 포토]

앤트로픽의 생성형 AI '미토스'가 보안 시장의 화두로 떠올랐다.[사진 | 연합뉴스, 더스쿠프 포토]
미토스(Mythos). 말이나 이야기, 신화를 뜻하는 고대 그리스어 '뮈토스'에서 유래했다. 기원전 300년대 철학자 아리스토텔레스의 저서 「시학」에서 '이야기의 줄거리'란 뜻으로 처음 등장했다. 현대에선 인간의 감성과 직관, 신화적인 믿음의 영역 등을 뜻하는 단어로 쓰인다. 합리적인 이성이란 뜻의 '로고스(Logos)'와 상반하는 개념이다.

이 단어를 따서 이름 붙인 게 4월 7일 인공지능(AI) 개발업체 앤트로픽(Anthropic)이 공개한 최신 AI '미토스'다. 보안 부문에서 스스로 판단하고 행동하는 '자율형 보안 지능'을 갖춘 이 모델은 뛰어난 성능으로 등장과 동시에 전세계 보안 업계에 충격을 던지고 있다.

앤트로픽에 따르면 미토스는 웹브라우저 '파이어폭스'의 보안 취약점을 찾는 테스트에서 84.0%의 성공률을 기록했다. '소넷(4.4%)' '오푸스(15.2%)' 등 앤트로픽의 다른 AI 모델들과 비교하면 성능 차가 압도적이다.

Q. 성능이 얼마나 다를까=무엇보다 업계를 경악하게 한 건 미토스의 비용 절감 능력이다. 그동안 사이버 보안 생태계를 지탱해 온 근간은 역설적이게도 해킹의 '비효율성'에 있었다. 이는 보안망을 뚫기 위해 해커(공격자)가 들여야 하는 시간과 자본이 방어자보다 많다는 의미다. 이를테면 해킹에 투입해야 하는 시간적ㆍ자본적 비용이 최고의 보안책 역할을 해온 셈이다.

그런데 미토스는 이 공식을 무시한다. 앱 구독료 수준의 비용만 내면 보안 체계를 분석해 취약 가능성이 있는 경로를 스스로 가정해 검증한다. 단순한 연산만 거치는 게 아니다. 방어벽을 뚫기 위해 우회로를 만드는 치밀함까지 보여준다.

일례로, 미토스는 '약점을 찾아 침투하라'는 프롬프트(명령어) 한줄로 최고 수준의 보안을 가진 운영체제 '오픈BSD'의 오래된 버그를 1분 만에 찾아냈다. 오픈BSD가 1999년 보안 표준 기술을 탑재한 이래 27년간 누구도 발견해내지 못한 취약점이다. 이 결함을 찾아내는 데 든 비용은 50달러(약 7만원)에 불과하다.

[사진 | 뉴시스]

[사진 | 뉴시스]
미토스의 놀라운 점은 또 있다. 미토스는 단순히 취약점을 찾아내는 데 그치지 않고, 실제 공격이 가능한 익스플로잇(공격 코드)까지 작성할 수 있다. 인간의 도움 없이 모든 해킹 과정을 자율적으로 수행하는 셈이다. 앤트로픽이 '인간의 직관'을 의미하는 이름(미토스)을 붙인 이유를 짐작할 수 있는 대목이다.

Q. 정치권 왜 난리법석 떨까=미토스의 등장에 한국 정부와 정치권에도 '비상'이 걸렸다. 국회 과학기술정보방송통신위원회는 지난 4월 28일 열린 전체회의에서 AI가 사이버 공격의 진입장벽을 급격히 낮추고 있다는 점을 주요 현안으로 거론했다.

이주희 더불어민주당 의원은 "미토스 같은 AI 위협이 현실화할 때 대한민국 보안 체계가 제대로 작동할 것이냐가 문제"라면서 "전담 추진체계, 예산, AI 보안 스케일업 등 구체적인 방안들이 국가 전략으로 묶여야 한다"고 지적했다.

배경훈 부총리 겸 과학기술정보통신부 장관도 같은날 자신의 사회관계망서비스(SNS)에서 "최신 AI 모델의 사이버 역량을 점검한 결과, 별도의 고도화된 코딩 없이 프롬프트만으로 취약점 탐색과 공격 시나리오 구성이 상당 수준 가능하다는 점을 확인했다"면서 "AI가 사이버 보안의 공격과 방어 규칙 자체를 바꾸고 있다"고 밝혔다.

범죄에 악용될 수 있다는 점을 우려했는지, 개발사인 앤트로픽은 현재 미토스를 대중에 선보이지 않고 있다. 애플, 마이크로소프트, 엔비디아, 아마존 등 일부 기업ㆍ기관에만 미토스를 공개하고, 이들 52개 단체와 함께 인프라 보안 역량을 키우는 '글래스윙(Glasswing) 프로젝트'를 추진 중이다. 대중 공개에 앞서 미토스를 기업ㆍ국가 보안 역량을 키우는 '방패'로 우선 활용하겠단 거다.

앤트로픽은 4월 7일 공식 발표에서 "AI 역량이 임계점을 넘어섰으며, 이는 사이버 위협으로부터 핵심 인프라를 보호하는 데 요구되는 요소를 근본적으로 바꾸고 있다"며 "경제와 공공안전, 국가 안보 등 피해가 심각할 수 있다"며 프로젝트 출범 이유를 설명했다.

[사진 | 더스쿠프 포토]

[사진 | 더스쿠프 포토]
Q. 보안 비대칭 커질까=다만, 이 프로젝트에서 살펴볼 건 따로 있다. AI가 기업 간, 국가 간의 '보안 양극화'를 심화시키고 있단 점이다. 글래스윙 프로젝트만 해도 앞서 언급한 빅테크 기업과 CISA(사이버보안ㆍ인프라 보안국), 국가AI표준혁신센터 등 미국 기업ㆍ기관만 참여 제안을 받았다.

이외 국가 기관으론 영국 AI안전연구소가 미토스 성능 테스트에 참여한 것으로 알려져 있다. 한국 과학기술정보통신부가 4월 29일 "미토스의 접근권을 얻을 수 있는 방안을 찾아보고 있다"고 밝혔지만, 실질적으로 가능할진 불분명하다.

전문가들은 소수 기업과 국가가 핵심 보안 기술을 독식하는 폐쇄적 구조가 '정보 비대칭'을 낳을 것을 우려하고 있다. 이상근 고려대 AI보안연구소 소장은 4월 23일 열린 긴급좌담회에서 "신뢰할 수 있는 금융기관은 어디인가, 보안 장비는 어떤 회사를 더 믿을 것인가란 산업적 질문까지 생긴다"면서 "특정 기업이 먼저 취약점 정보를 접하고 먼저 방어에 나설 수 있다면, 거기에 속하지 못한 기업과 국가는 출발선부터 밀릴 수 있다"고 경고했다. 놀라운 AI 미토스가 세계 각국에 던진 숙제다.

이혁기 더스쿠프 기자
lhk@thescoop.co.kr

Copyright © 더스쿠프. 무단전재 및 재배포 금지.

더스쿠프에서 직접 확인하세요. 해당 언론사로 이동합니다.