'미토스 쇼크'에 흔들리는 韓 AI 보안… 글래스윙 문턱 넘기 어려워지나

[경제일보] 앤트로픽의 차세대 인공지능(AI) 모델 ‘클로드 미토스 프리뷰’가 글로벌 사이버보안 지형에 파장을 일으키고 있다. AI가 대규모 소프트웨어 취약점을 빠르게 찾아내고 공격 가능성까지 분석할 수 있는 수준에 도달했다는 점이 알려지면서 각국 정부와 보안업계도 대응책 마련에 나섰다.

그러나 한국은 미토스 접근권을 제한적으로 제공하는 앤트로픽의 보안 협력체 ‘프로젝트 글래스윙’ 참여에서 아직 가시적인 진전을 내지 못하고 있다.

국내에서는 앤트로픽과 협력 관계를 구축했던 SK텔레콤이 글래스윙 참여를 검토했지만 최근 추진하지 않는 방향으로 내부 결론을 내린 것으로 전해졌다. SK텔레콤은 2023년 앤트로픽에 1억달러를 투자하고 통신 특화 대형언어모델(LLM) 개발 협력을 맺은 전략적 투자자다. 당시 SK텔레콤은 글로벌 텔코 AI 얼라이언스와 연계해 앤트로픽과 AI 혁신을 추진하겠다고 밝힌 바 있다.

다만 지분 관계가 보안 협력체 접근권으로 곧바로 이어지지는 않았다. SK텔레콤의 앤트로픽 지분은 후속 투자 과정에서 희석돼 약 0.3% 수준으로 추정된다. 외신과 국내 매체들은 SK텔레콤의 앤트로픽 지분 가치가 급등했지만 실제 보유 지분은 0.3% 안팎이라고 전했다.

문제는 글래스윙이 단순 민간 연구 프로젝트를 넘어 사실상 미국 중심의 폐쇄형 사이버보안 동맹처럼 움직이고 있다는 점이다.
 
앤트로픽은 지난달 프로젝트 글래스윙을 공개하면서 미토스 프리뷰를 일부 기업과 기관에만 제한적으로 제공한다고 밝혔다. 로이터는 이 프로그램에 아마존, 마이크로소프트, 엔비디아, 애플 등이 참여하고 있으며 미토스는 방어 목적의 사이버보안 작업에 제한적으로 활용된다고 보도했다.

앤트로픽이 공개한 설명 역시 위험성을 뒷받침한다. 회사는 미토스 프리뷰가 공개되지 않은 프론티어 모델이며 소프트웨어 취약점을 찾아내고 악용 가능성을 분석하는 능력에서 극히 숙련된 인간 전문가 수준을 넘어설 수 있다고 밝혔다.

실제 파급력도 감지되고 있다. 일부 외신은 미토스가 오픈소스 소프트웨어에서 1만건 이상의 고위험 또는 치명적 취약점을 찾아냈다고 전했다. 테크레이더는 미토스가 장기간 숨어 있던 버그까지 드러내면서 전통적인 ‘패치 윈도’ 개념이 사실상 무너지고 있다고 분석했다.
 
금융권도 즉각 반응했다. 파이낸셜타임스는 유럽중앙은행(ECB)이 주요 은행들을 소집해 미토스가 드러낸 취약점에 대응할 것을 촉구했다고 보도했다. 유럽 은행들이 글래스윙 접근권을 갖고 있지 않더라도 악의적 행위자가 유사한 AI 역량을 확보할 가능성에 대비해야 한다는 판단에서다.

다만 미토스를 둘러싼 우려가 과장됐다는 반론도 있다. 로이터는 보안 전문가들 사이에서 미토스가 취약점 탐색 속도를 높일 수는 있지만 실제 공격으로 이어지려면 검증과 악용 가능성 판단, 패치 지연 등 여러 조건이 필요하다는 평가가 나온다고 전했다. 미토스가 당장 ‘자동 해커’처럼 모든 방어망을 무너뜨릴 것이라는 해석은 지나치다는 것이다.

그럼에도 핵심은 미토스 자체보다 취약점 정보와 대응 도구를 누가 먼저 확보하느냐다. 글래스윙 참여자는 미토스가 찾아낸 취약점을 먼저 검증하고 패치할 시간을 확보할 수 있다. 반면 참여하지 못한 국가는 같은 취약점이 공개되거나 실제 악용될 때까지 기다려야 하는 불리한 위치에 놓일 수 있다.
 
정부도 이 문제를 인식하고 있다. 과학기술정보통신부는 지난 11일 류제명 제2차관 주재로 앤트로픽의 마이클 셀리토 글로벌 정책 총괄 등과 만나 AI·사이버보안 협력 방안을 논의했다. 외교부와 국가정보원, 금융위원회, 인공지능안전연구소, 한국인터넷진흥원(KISA), 금융보안원 등도 참석했다. 정부는 국내 기업·기관과의 협력 및 취약점 정보 공유 확대를 요청한 것으로 알려졌다.

정부 입장에서 더 부담스러운 부분은 미국 정부의 관여 가능성이다. 미토스는 방어와 공격에 모두 활용될 수 있는 이중용도 기술이다. 취약점 탐색 AI가 특정 국가나 기업에 제공될 경우 해당 정보가 방어 목적에만 활용된다는 보장이 필요하다. 앤트로픽이 민간 기업이라 하더라도 미국 정부와의 협의 없이 해외 기관 접근을 쉽게 확대하기 어려운 구조라는 분석이 나온다.

국내 보안업계는 이를 ‘AI 보안 주권’ 문제로 바라보고 있다. 미토스가 취약점 발견 속도를 바꾼다면 글래스윙은 그 취약점 정보의 접근 순서를 결정한다는 것이다. 업계에서는 결국 누가 정보를 먼저 확보하고 선제 대응할 수 있느냐의 문제라고 보고 있다.

대안 논의도 시작됐다. 국내 보안 스타트업 티오리는 미국 중심 글래스윙에 대응하는 한국형·다자형 보안 협력체 ‘프로젝트 캐노피’를 추진하고 있다. 티오리는 유럽과 아시아를 연결하는 AI 보안 협력체 출범을 준비 중이며 미국 중심의 미토스 접근 구조에 대한 우려가 배경이라고 설명했다.

국내에서는 아직 글래스윙 참여 기업이 없고 앤트로픽과의 협력 역시 정보 공유 요청 수준에 머물러 있다.

한국 정부가 준비 중인 AI 기반 사이버 위협 대응 체계는 이 같은 복합 위협을 함께 담아야 한다. 단순히 글로벌 협력체 참여를 타진하는 수준만으로는 부족하다. 미토스급 모델 접근권 확보와 국내 취약점 데이터베이스 고도화, 주요 오픈소스 및 국가 핵심 인프라 선제 점검, 금융·통신·의료·에너지 분야별 AI 보안 훈련 체계 구축, 국내 AI 보안 모델 개발이 동시에 추진돼야 한다.