AI 슈퍼 해커의 역습…‘사이버 실버 돔’으로 막는다

앤트로픽이 지난 4월 7일 공개한 글래스윙 프로젝트의 소개 페이지 화면. 앤트로픽 제공

지난해 9월 미국 인공지능(AI) 기업 앤트로픽은 누군가 자사의 코딩용 AI ‘클로드 코드’를 이용해 사이버 첩보 작전을 수행 중인 걸 발견했다. 전 세계 30여곳의 기업·정부 기관에 동시다발적으로 침투해 정찰부터 취약점 발견, 침입, 인증정보 탈취, 데이터 유출 등의 공격을 시도했다. 일부에선 성공을 거뒀다.

앤트로픽은 이 작전의 80~90%를 사람의 개입 없이 AI가 자율적으로 진행했다고 분석했다. 사람은 표적을 고르고, 정찰에서 공격으로 넘어갈지 같은 중대한 길목에서만 승인권자의 역할을 했다. 앤트로픽은 지난해 11월 공개한 보고서에서 이 사건을 “사람의 실질적 개입 없이 대규모로 실행된 첫 사이버 공격”으로 규정했다. 배후로 앤트로픽이 GTG-1002로 이름을 붙인 중국 국가지원 해킹조직이 거론됐다.

앤트로픽은 “AI는 단순 조언자가 아니라 실제 공격을 수행하는 자율형 사이버 공격 에이전트처럼 활용됐다”면서 같은 해 6월에 확인된 바이브 해킹 사례보다 AI의 자율성이 더 커졌다고 설명했다. 당시엔 사람이 침투의 시작점을 잡고 작전을 일일이 지휘했지만, 이번에는 규모가 더 커졌는데도 사람의 개입은 오히려 줄었다.

“AI가 자율적으로 공격 실행…안전장치 우회”

AI는 네트워크 인프라 데이터를 대량으로 수집·분석해 취약 진입 지점을 선별했다. 인간 분석가가 수일간 매달려야 했던 표적 식별 시간이 단 몇분으로 줄었다. 공격자의 목적은 정부·기업의 민감한 기밀을 탈취하는 것이었다. AI는 방대한 자료 속에서 가장 가치 있는 정보를 찾아내는 정찰병 역할을 했다. 문서 내용을 이해해 핵심 기술 도면, 계약서, 소스코드 등을 정확히 분류했다.

원래 AI 모델은 해킹 요청에 응하지 않게 돼 있다. 공격자들은 이를 우회하기 위해 역할극을 활용했다. “우리는 정당한 보안업체 직원이고 방어 목적의 모의 침투 테스트를 하는 중”이라는 식으로 설득했다. AI 모델의 안전장치를 정교한 대화 기술로 무력화하는 행위인 ‘바이브 해킹’이다. AI는 복잡한 공격 과정을 잘게 쪼개 각각을 정상적인 기술 작업처럼 보이도록 위장하자, 클로드는 공격의 전체 맥락을 알지 못한 상태에서 개별 작업을 수행했다.

이상근 고려대 정보보호대학원 교수는 “안전장치를 우회하는 걸 흔히 탈옥(jailbreak)이라고 하는데 이를 100% 막을 방법은 없다”면서 “특히 클로드 코드처럼 코딩하는 에이전트는 안전장치를 많이 걸면 코딩 자체가 잘 안 될 수 있어서 좀 허술하게 돼 있는데 이를 악용한 것”이라고 설명했다.

그림 1. GTG-1002의 작전 구조도. 앤트로픽 제공

사람은 공격의 단계별로 주요 의사결정에만 개입할 뿐 80~90%는 AI가 자율적으로 판단해 행동했다. 앤트로픽 제공

다만 아직 한계도 있다. AI는 종종 성과를 부풀렸고, 때로는 없는 인증정보를 손에 넣었다고 주장하거나 이미 공개된 정보를 ‘중대한 발견’이라고 보고하는 등 환각을 일으켰다. 이로 인해 공격자는 AI가 내놓은 결과를 일일이 검증해야 했다. 앤트로픽은 이런 환각이 “완전 자율 공격을 가로막는 장애물로 남아 있다”고 평가했다. 다만 이는 시간문제일 뿐이라는 게 보안업계의 시각이다.

AI 모델의 성능이 인간 전문가 수준을 넘어서는 영역이 늘어나고 있다. 인간이 지시만 내리면 알아서 목표와 계획을 세워 실행하는 AI 에이전트의 등장으로 그 쓰임새는 더 커졌다. 해킹 역시 마찬가지다. 전문 지식이 없는 일반인도 AI 모델을 돌릴 ‘자본’(토큰)만 있으면 대규모 해킹 공격을 시도할 수 있다는 우려가 나온다. AI의 등장이 사이버 보안의 패러다임을 통째로 바꿀 태세다. 이런 흐름의 맨 앞에 앤트로픽의 ‘미토스’와 오픈AI의 ‘GPT-5.5 사이버’와 같은 최선단 AI 모델이 있다.

미토스는 리눅스(Linux)와 같은 대형 운영체제의 제로데이(개발자도 몰랐던 보안 허점) 취약점 수천건을 단 며칠, 혹은 몇분 만에 찾아내 공격 코드까지 자동으로 생성했다. 사실 미토스가 아니라도 상용 모델인 오퍼스나 오픈AI 등의 다른 AI 모델로도 취약점을 찾고 공격할 수 있다. 다만 지금은 보안 전문성이 좀더 필요해 비용이 더 많이 들 뿐이다.

김형식 성균관대 소프트웨어학과 교수는 “굉장히 숙련된 해커가 몇개월에서 1년은 걸려야 하는 일을 지금은 며칠 만에 찾을 수 있다는 게 미토스의 놀라운 점”이라면서 “미토스 전까지는 성능이 떨어져 공격자도 보안 지식이 상당히 필요했는데 프런티어 모델을 이용하면 지금 바이브 코딩으로 소프트웨어 개발자가 필요 없다고 말하듯 누구나 공격을 굉장히 쉽게, 그리고 굉장히 큰 규모로 하게 될 것”이라고 말했다.

AI로 해킹의 장벽이 낮아지면 공격 대상도 확대된다. 김 교수는 “거리낌 없이 모든 것을 대규모로 공격할 것이기 때문에 지금 있는 모든 서비스, 모든 서버, 모든 웹사이트, 모든 애플리케이션이 다 공격에 노출된다”면서 “앤트로픽이 공개한 취약점이 파이어폭스와 프리BSD 같은 운영체제에서 나왔는데, 그건 개발자들과 보안 분석가들이 굉장히 공들여 점검하고 패치하는 시스템이다. 거기서 취약점이 그렇게 나왔다는 건 일반 애플리케이션에서는 취약점이 어마어마하게 나올 수 있다는 신호”라고 말했다.

오픈AI의 TAC 등 국제 보안협력체 참여

제이슨 권 오픈AI 최고전략책임자(CSO)가 지난 5월 27일 서울 서초구 JW 메리어트 호텔에서 열린 기자간담회에서 발언하고 있다. 오픈AI 제공

전력망과 철도망, 통신망 등 국가 인프라의 제어계통(OT·Operational Technology)은 리눅스와 유닉스를 비롯한 오픈소스 운영체제(OS)를 많이 사용한다. 독자적인 전용 OS나 마이크로소프트 윈도 기반 시스템보다 비용과 확장성·안정성에서 유리하기 때문이다. 리눅스의 경우 전 세계 수백만명의 개발자와 보안 전문가가 실시간으로 취약점을 감시해 문제가 발견됐을 때 패치(수정 프로그램)가 나오는 속도가 윈도 같은 폐쇄형 OS보다 훨씬 빠르다.

OT망은 인터넷망과 분리돼 있어 외부에서 침투하기 어렵다. 따라서 미토스 등으로 리눅스의 취약점을 알아냈다고 해도 전력망, 통신망 등 주요 인프라가 곧바로 공격을 당할 수 있다는 건 아니다.

이상근 교수는 “미토스의 레드팀 보고서를 보면 (인터넷과 연결된) IT 보안은 다 뚫어내는데, OT 보안은 하나도 못 뚫었다. AI가 OT 쪽 코드를 볼 수 없기 때문이다”면서 “다만 OT망의 일부가 인터넷에 연결되면 굉장히 위험할 수 있다. 당장 올해는 괜찮을 듯하지만 내년 이후가 걱정된다”고 말했다. 일례로 AI로 리눅스의 취약점을 파악한 후 공격 코드를 USB에 심어 침투하는 방식이 가능할 수 있다. AI를 쓰지 않았을 뿐, 2010년 미국이 사이버 공격으로 이란 나탄즈의 우라늄 농축시설을 파괴한 스턱스넷에서 활용한 방법이다.

당장 급한 건 인터넷 보안이다. AI로 자동화된 사이버 공격이 대규모로 일어날 수 있기 때문이다. GTG-1002 사례처럼 과거에는 숙련된 고급 해커 인력이 부족해 동시에 진행할 수 없었던 수십개 기관을 대상으로 한 전면 공격도 AI로 가능해졌다. 당시 방어자가 하나의 악성코드 패턴을 막으면, AI는 수초 만에 이를 우회하는 변종 코드를 재생성했다. 사방에서 동시에 쏟아지는 정교한 공격에 기업 보안센터의 감시 시스템과 인간 분석가들은 순식간에 마비 상태에 빠졌다.

이미 공격과 방어의 균형추가 크게 기울어졌다. 취약점이 발견된 후 이를 악용한 실제 공격 코드가 등장하기까지 걸리는 시간(TTE·Time-to-Exploit)은 2018년 2.3년에서 2022년 9.7개월로, 챗GPT 등장 직후 4.9개월로 줄었고, 미토스 직전 통계로는 10시간까지 단축됐다. 취약점 공지가 떠도 패치할 시간이 하루도 채 안 된다는 뜻이다. 이 시간은 올해, 내년에는 1분 단위로까지 줄어들 수 있다는 관측이 나온다.

앤트로픽이 오는 7월 미토스 공개를 앞두고 약 50개의 글로벌 빅테크 기업·기관이 먼저 미토스를 활용해 보안 취약점을 찾고 대비할 수 있도록 한 글래스윙(Glasswing) 프로젝트를 시작한 이유도 이런 극도로 짧아진 TTE 때문이다. 최신 모델이 개발되면 바로 공개해 자신의 성능 우위를 과시하던 것과는 다른 행보다.

다만 글래스윙은 영국의 AI 안전연구소를 빼면 전부 미국의 기업과 기관으로 구성돼 폐쇄성이 강하다. 정보 비대칭성이 우려되면서 각국은 글래스윙 참여를 타진하고 있으나 미국 정부의 반대로 확대가 쉽지 않은 것으로 알려졌다. 대안으로 오픈 AI가 주도하는 신뢰기반 사이버 접근 프로그램(TAC)에 합류하고 있다.

한국 정부도 지난 5월 27일 오픈AI가 운영 중인 정부·기관용 신뢰기반 사이버 접근 프로그램(GTAC)에 참여한다고 밝혔다. 아시아에선 일본과 함께 처음으로 합류했다. AI 안전성 평가와 공동 연구도 추진한다. 과기부 관계자는 “오픈AI의 AI 모델 중 사이버보안에 특화된 모델(GPT-5.5 사이버)의 접근권을 확보해 이를 기반으로 민간 분야 보안 강화에 활용할 계획이다”고 말했다.

‘사이버 실버 돔’ 추진···AI 위협 AI로 막는다

정부는 AI발 사이버 보안 위기에 대응할 종합 대책도 조만간 공개할 계획이다. 지은경 과기부 정보보호기획과장은 지난 5월 12일 국회에서 열린 포럼에서 “앤트로픽·오픈AI와 취약점 공개 전 사전에 대비할 수 있도록 협력하자고 제안했고, 국가안보실 주관으로 각 부처가 모여서 미토스에 대응한 단기·중장기 전략을 논의 중”이라고 밝혔다.

AI를 활용한 사이버 공격에는 AI로 방어할 수밖에 없다는 현실론을 언급했다. 지 과장은 “취약점 대응 시간을 단축하기 위해 보안 솔루션을 대규모언어모델(LLM) 기반으로 전환하고 AI 에이전트 기반으로 능동적 대응 체계로 전환하는 방안을 마련하고 있다”라고 말했다.

중장기적으로는 독자 기술로 ‘사이버 실버 돔’으로 불리는 고성능 보안 특화 AI 모델도 개발할 계획이다. 지 과장은 “국내에 들어오는 트래픽과 국내 위협 정보를 LLM 기반으로 추론해 실시간으로 능동 대응할 수 있는 대형 연구개발(R&D) 프로젝트를 기획하고 있다”면서 “차세대 암호체계 도입을 위한 노력도 지속하고 있다”고 설명했다.

금융권도 미토스발 충격에 대응해 사이버 보안 분야에 AI 도입을 서두르고 있다. 금융위원회는 지난 5월 22일 금융권 대응 방안을 발표했는데 핵심은 망분리 규제 완화다. 자산 10조원 이상 등 일정 기준을 충족하는 금융사가 보안목적으로 AI를 활용할 때 망분리 규제를 완화하는 긴급 조치가 추진된다.

국내 금융사는 해외와 달리 업무용 시스템과 정보처리시스템을 인터넷 등 외부 통신망과 분리·차단해야 하는 망분리 규제를 적용받고 있다. 망분리로 잠재적인 공격 표면을 최소화하는 데는 유리하지만, 고성능 AI를 활용해 취약점을 탐지하거나 방어시스템을 구축하는 ‘AI 기반 보안 시스템’을 마련하는 데는 한계가 있었다.

최대선 숭실대 AI안전성연구센터 교수는 “AI로 인한 위협은 AI로만 막을 수 있다는 점에서 AI를 더 많이 활용할 수 있도록 열어 주는 측면은 긍정적이라고 본다”면서 “AI를 이용해 보안 점검을 하고, 보안 대책을 만들어 내는 일종의 속도전을 할 수 있는 체제를 만들어야 한다”고 말했다.

해킹을 우려해 AI 모델의 발전을 막을 수는 없는 상황이다. 다만 AI 에이전트를 무한히 고용해 사이버 인해전술을 펼 가능성에 대비해야 한다. 이상근 교수는 “전기료가 싼 중국은 AI 비용이 미국의 10분의 1에 불과하고, 성능도 미토스의 90%까지 쫓아왔다”면서 “취약점을 찾는 것도 사실 이미 에이전트를 활용해 자동화한 상황에서 그걸 공격으로 전환하는 건 쉬운 일”이라고 말했다.

한국은 ‘원데이 취약점’ 먼저 손봐야

전문가들은 제로데이(개발자도 몰랐던 보안 허점) 취약점만이 아니라 원데이 취약점(이미 알려졌으나 고치지 않은 오래된 취약점) 문제가 더 심각하다고 강조했다. 취약점이 이미 알려졌고, 패치가 나왔는데도 적용을 하지 않은 경우가 많아서다.

김용대 KAIST 전자공학부·정보보호대학원 교수는 “한 통신사는 12년간 무중단 서비스를 했다고 자랑했는데, 사실 운영체제를 패치하면 서버를 다시 부팅해야 한다. 12년간 패치를 하지 않았다고 자랑한 셈”이라고 말했다. 김 교수는 “지난해 발생한 롯데카드의 정보 유출 사고도 전부 오래된 취약점에서 발생한 것”이라고 말했다.

국내 전자 제품의 OS나 소프트웨어에는 여러 중소기업의 프로그램이 복잡하게 얽혀 있어 ‘소프트웨어 의존성’이 높다. 개발 회사가 폐업하거나 담당 개발자가 퇴사하면 취약점이 생겼을 때 고칠 수 없는 경우가 생긴다. 소프트웨어의 복잡성이 클수록 취약점이 생길 가능성은 크고, 패치는 어려워진다.

김용대 교수는 “제품의 코드 구조를 단순화하지 않으면 취약점을 알아도 고치지 못하는 사태가 생길 수 있다. 코드 베이스가 제대로 있는지조차 솔직히 잘 모르겠다. 코드 관리가 안 돼 있으면 AI를 이용한 패치도 안 된다. 의존성이 너무 많아 AI한테 ‘이 모든 의존성을 다 해결하는 패치를 찾아라’라고 해도 어려울 수 있다”고 말했다.

금융 서비스를 이용하기 위해 설치하는 보안 프로그램이 되려 해킹의 표적이 되는 상황도 지적했다. 김용대 교수 등 KAIST 연구팀과 김형식 성균관대 교수팀, 보안 전문 기업 티오리 등의 공동 연구진은 지난해 15종의 스마트폰에서 작동하는 7종 금융 보안 프로그램에서 19건의 치명적 취약점을 발견했다. 키 입력 탈취, 인증서 유출, 원격 코드 실행까지 가능한 수준이었다.

전문가들은 구글, 페이스북을 쓰면서도 별도 보안 프로그램을 설치하지 않듯, 브라우저 기반 웹 표준에 부합하는 인증·보안 체계로 전환해야 한다고 말했다. 이재명 대통령이 직접 금융권 설치형 소프트웨어의 문제점을 지적했지만 제도 개선은 더딘 편이다.

김형식 교수는 “시큐리티 시어터(보안 극장)라는 표현을 쓰는데 무언가를 더 설치하는 게 항상 더 안전하다고 보는 관행과 함께 갑자기 걷어냈을 때 문제가 생기면 누가 책임질 것이냐에 대한 막연한 공포를 많이 갖고 있다”면서 “설치형이 보안에 좋지 않은 이유는 소프트웨어를 버그 없이 만드는 것 자체가 어렵고, 설치하는 방식 자체가 악성 코드가 들어올 수 있는 통로가 되기 때문”이라고 설명했다.

김 교수는 “대부분의 금융권 프로그램은 보안 회사에 외주를 준 것인데 그 회사 직원들이 금방 퇴사하다 보니 프로그램이 엉망이고 버그도 많은 편”이라면서 “굉장히 큰 권한을 가진 프로그램이고, 따라서 가장 안전하게 만들어야 하는 프로그램인데도 오히려 공격자가 시스템을 장악할 수 있는 위험한 통로로 사용된다는 게 가장 큰 문제”라고 말했다.

공격자에 맞춰 방어하는 쪽의 무기도 대등해질 필요가 있다. 공격 속도를 따라가려면 대응책도 빨라야 한다. 보안성 검토를 받고, 변경 심의를 거치는 등 자동화 배포에 걸리는 시간을 줄여야 한다. 우길수 정보보안담당자협의회 대표는 “적이 총을 쏘는데 우린 대응해서 쏠까요 말까요 하면 안 된다. 먼저 쏴야죠. 외국처럼 사전적인 승인에서 실시간 통제로, 그리고 필요한 경우 사후 보고하는 체계로 보안 거버넌스를 바꿔야 한다”고 말했다.

보안 취약점을 발견한 사람에게 보상하는 버그 바운티(Bug Bounty)의 실효성을 높일 수 있도록 정보통신망법 개선도 필요하다. 기업의 사전 승인 없이 시스템을 테스트하는 것은 정보통신망법 제48조 위반에 해당할 수 있다. 국내에서 버그 바운티를 위해 웹사이트를 방문해 취약점을 찾아 알려주면 ‘왜 허락 없이 접속했냐’라는 반응을 보이는 경우도 많다. 심지어 경찰의 수사를 받는 경우도 있다.

김형식 교수는 “취약점을 찾으려면 어쨌든 (대상에) 접근해야 하는데, 우리나라는 접근 자체가 불법인 부분이 있다”면서 “좋은 취지로 만들어진 법은 맞지만 문제는 비대칭성이다. 공격자들은 어차피 법을 어기는데, 보안 분석가들은 좋은 의도로 점검하고 싶어도 법을 어기는 게 된다”고 말했다.

합법적 AI 에이전트는 자신이 에이전트라는 신호를 보내기 때문에 이 신호를 보고 차단할 수 있다. 7월 공개를 앞두고 보안 분야의 혼란이 예상된다면 쓸 수 있는 방법이지만, 에이전트를 활용한 서비스 자체도 막힌다는 단점이 있다. 결국 근본적인 해법을 찾는 연구가 필요하다. AI 기업들이 군비경쟁을 하듯 치열한 경쟁을 하는 상황에서 상대적으로 AI 안전성과 보안 문제는 등한시되고 있으나 이 분야 연구와 투자를 늘려야 하는 이유다.

주영재 기자 jyj@kyunghyang.com