'한국형 미토스'보다 중요한 해킹 방패…"AI 수비수 필요하다"

김보민 기자 2026. 5. 26. 14:23
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

[디지털데일리 김보민기자] 정부가 앤트로픽의 차세대 인공지능(AI) 모델 '클로드 미토스'에 맞설 한국형 모델을 강조한 가운데, 공격보다 방어에 초점을 둔 대응책이 필요하다는 의견이 나왔다.

강병탁 AI스페라 대표는 26일 서울 강남 드림플러스애서 열린 '2026 AI 세이프티 컴패스' 행사를 통해 "지금 중요한 건 한국형 미토스보다 해킹의 대중화"라며 "수비형 AI를 발전시키는 것이 관건"이라고 밝혔다.

국내외 보안업계는 미토스가 상용화될 경우 해킹을 비롯한 공격이 이뤄지는 속도와 규모가 달라질 것으로 예상하고 있다. 미토스가 취약점 탐색과 익스플로잇 생성에 특화돼 있다는 점을 고려했을 때, 해커가 이를 악용할 가능성을 배제할 수 없다는 취지다. 해킹 지식이 없는 초등학생까지 이를 악용할 수 있다는 목소리도 제기된다.

정부는 앤트로픽이 주도하는 공동 보안 대응 연합체 '프로젝트 글래스윙' 참여를 타진하는 동시에, 한국형 취약점 탐지 모델이 필요하다고 강조하고 있다. 그러나 보안업계 일각에서는 미토스와 유사한 AI 위협은 이전부터 제기돼 온 만큼, 더 뛰어난 방어책을 찾는 것이 필요하다고 이야기한다.

강 대표도 공감대를 표했다. 그는 "미토스는 사람 손흥민(공격수)보다 100배 정도 훌륭한 AI 손흥민"이라고 비유하며 "그렇다면 우리는 이에 맞설 AI 김민재(수비수)가 필요하다는 마음으로 국가와 기업 정책 방향을 바꿔야 한다"고 제언했다.

글로벌 보안 기업 사이버유닛에 따르면 보안 취약점이 발견된 뒤 공격이 시작되는 기간(TTE·Time to Exploit)은 최근 63일에서 5시간으로 단축됐다. 추후 AI 에이전트형 공격이 본격화될 경우 해당 기간은 더욱 줄어들 것으로 예상된다. 강 대표는 "현재 인터넷에 존재하는 취약점은 셀 수 없이 많고, 미토스는 이를 더 빠르게 찾아내 정확한 공격 코드를 던질 수 있게 할 것"이라며 "공격 표면을 관리하는 것이 중요한 이유"라고 말했다.

기본적인 공격 표면 관리를 하는 것 또한 시작점이 될 수 있다고 밝혔다. 강 대표는 "가장 대표적인 공격 표면은 가정용 웹캠과 중소기업에서 쓰는 폐쇄회로(CC)TV이고, 이미 수많은 웹캠이 털린 상태로 인터넷에 노출돼 있다"며 "관리자 페이지와 API 호출 등을 공격 수단으로 사용하는 경우도 있다"고 말했다.

관리해야 할 공격 표면이 늘어날 것으로도 전망했다. 강 대표는 "전 세계 인터넷프로토콜(IP) 주소는 43억개 규모"라며 "어디에 어떤 서버가 존재하고, 어떤 서버에 취약점이 있는지 실시간으로 점검하는 것이 현실적으로 미토스에 빠르게 대응할 수 있는 방법"이라고 말했다.

한편 국제인공지능윤리협회(IAAE)가 주최한 'AI 세이프티 컴패스' 행사는 올해 3회째를 맞이해 'AI 에이전트 보안과 기업 신뢰 구현 전략'을 주제로 열렸다. 행사에는 인공지능안전연구소(AISI), 한국인터넷진흥원(KISA), 포티투마루, AI스페라, 데이븐AI, 에임인텔리전스 등 전문가들이 연사로 참여했다.

현장에서는 자율형 AI 에이전트에 따른 위험성이 커질 수 있다는 전망도 나왔다. 김명주 AISI 소장은 오픈소스 기반 에이전트 환경 '오픈클로'를 대상으로 보안 평가 플랫폼을 구축해 AI 모델을 실험한 결과, 방어율이 93%에서 53%까지 편차가 있었다고 설명했다. AI 에이전트 커뮤니티 '몰트북'의 경우 민감정보를 유출하거나 연산 자원을 낭비하도록 유도한 행위가 확인됐다고 부연했다.

한국의 프로젝트 글래스윙 참여 가능성에 대해서는 신중한 입장을 표했다. 김 소장은 최신 현황은 과학기술정보통신부를 비롯한 주무 부처에서 이야기하는 것이 맞다면서도 "쉽지 않을 것 같다"고 답했다. 그러면서 "이를 악용하려는 세력에 먼저 들어가면 혼란이 커지기 때문에, 사회 전반적으로 체질이 올라간 다음 공개하려 하지 않을까 생각한다"고 말했다.

AI 에이전트 시대에 맞춰 안전 원칙을 준수해야 한다고 당부했다. 김 소장은 주요 원칙으로 검증된 최신 원칙 사용, 개인정보 직접 입력 금지, 민감 정보 내부 저장 금지, 최소 권한 부여, 검증되지 않은 외부 서비스 연결 금지, 불분명한 플러그인 설치 금지, 고위험 행위 사용자 직접 확인, 이상징후 발생 시 사용 중단 및 교체를 언급했다.

Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.

디지털데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.