• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'미토스'통합검색 결과 입니다. (73건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

미 전쟁부, 겉으론 "앤트로픽 퇴출"…실제론 "미토스 활용"

미국 전쟁부(국방부)가 앤트로픽을 공급망 위험으로 보고 퇴출 절차를 진행하면서도, 사이버보안 특화 인공지능(AI) 모델 '미토스'는 정부 네트워크 방어에 활용하고 있는 것으로 알려졌다. 로이터통신은 12일(현지시간) 에밀 마이클 국방부 연구공학 담당 차관 겸 최고기술책임자(CTO)가 워싱턴DC에서 열린 콘퍼런스에서 이 같은 방침을 밝혔다고 보도했다. 미토스는 앤트로픽이 지난달 초 발표한 소프트웨어 취약점 탐지 특화 모델이다. 현재는 '프로젝트 글래스윙'이라는 제한적 사전 접근 프로그램을 통해 일부 기업과 기관에 제공되고 있다. 구글·애플·마이크로소프트(MS)·아마존웹서비스(AWS)·엔비디아 등 주요 빅테크가 참여 중이다. 다만 마이클 차관은 앤트로픽의 기술 우위가 일시적일 것이라는 입장이다. 그는 오픈AI, xAI, 구글 모델도 곧 동등한 수준 기능을 갖출 것이라고 강조했다. 해당 세 기업은 현재 전쟁부 및 군의 기밀 업무에 AI 모델을 사용할 수 있는 계약을 체결한 상태다. 미국 행정부와 앤트로픽은 전장 내 AI 사용 범위를 놓고 갈등을 빚어왔으며 전쟁부는 앤트로픽을 공급망 위험으로 지정하고 퇴출을 결정했다. 앤트로픽은 이에 반발해 소송을 제기했고 양측 법적 분쟁이 진행 중이다. 마이클 차관은 "미토스는 국가 안보의 중대한 순간에 대응하는 모델"이라며 "사이버 취약점이 AI 등장으로 더 빠르게 악용될 수도 더 빠르게 보완될 수도 있다"고 말했다.

2026.05.13 12:14이나연 기자

AI에이전트·양자위협에 금융사 보안 '빨간불'…"정부·업계 선제책 필요"

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 2025년 말, 고도화된 딥페이크(Deepfake) 기술을 이용해 얼굴을 실시간으로 합성해 은행 본인인증을 통과, 비대면 대출이 실행된 사건이 발생했다. '눈 깜빡이기', '고개 돌리기' 같은 단순한 생동성(Liveness) 검사를 인공지능(AI)이 학습하면서 보안망이 뚫린 것이다. 딥페이크를 통한 금융 범죄 가능성이 '현실화'하면서 금융사는 물론이고 당국 역시 예의주시하고 있다. 최근엔 AI 에이전트 '미토스(Mythos)'가 전 세계를 충격에 빠뜨렸다. AI 기술이 발전하면서 AI를 통한 사이버 공격 및 보안 위협 수준이 올라갔다는 점이 실체로 확인된 것이다. 최대성 숭실대 AI안전성연구센터 교수는 12일 열린 국회 포럼에서 "AI 에이전트가 사이버 보안 위협뿐만 아니라 금융 사기까지 가장 큰 위협으로 다가올 것"이라며 "AI 에이전트에 숨겨진 공격 명령을 내리는 위협도 있다"고 진단했다. 또다른 위협으로는 양자 컴퓨팅으로 인한 양자 위협이다. 이창민 고려대 교수는 "양자 위협이 현실서 가져오는 문제점으로는 인터넷뱅킹·메신저·전자서명 등 거의 모든 인터넷 서비스에서 이용되는 공개키 암호가 무력하게 될 수 있다는 점"이라고 지적했다. 이 교수는 이어 "양자컴퓨터가 빠르면 2030년 느리면 2038년에 실현돼 아직 시간이 남았다고 생각하지만 문제는 지금 도청된(해킹된) 데이터를 모아놓고 양자컴퓨터를 쓸 수 있을 때 국가 안보 위협되는 행동을 할 수 있는 것"이라며 "지금 당장 시급하게 준비해야 하는 것"이라고 지적했다. 우길수 아톤 대표는 "RSA 등을 기반으로 금융 시스템이 짜여져 있는데 양자컴퓨팅이 오면 해킹에 취약하다는 것은 익히 알려져 있는 사실"이라면서 "전자서명인증 유효 기간이 최소 3년인데 양자컴퓨팅이 도래하는 시점을 역산해 미리 이를 준비해야 한다"고 강조했다. 해커 범죄 집단이나 해킹 프로그램으로 개인정보를 탈취했던 과거와 다르게 기술이 진화하고, 그 피해 속도와 규모가 커지면서 국내 금융사도 보안을 '비용'으로 단순히 치환하기 어려워진 실정이다. 딥페이크로 모바일 뱅킹 본인 인증 절차가 뚫리면서 다양한 기술을 결합하고 있는 상황이다. 카카오뱅크는 생동성 체크뿐만 아니라 안티 스푸핑(Anti-Spoofing) 기술을 활용하는 것과 더불어 전담 인력까지 배치했다. 카카오뱅크는 "전수 육안 모니터링을 병행해 기술적 탐지를 우회하는 의심 사례까지 관리하고 있다"면서 "알려지지 않은 신종 공격이나 기술적 사각지대를 최소화하기 위해 다중 방어 체계를 쌓고 있다"고 설명했다. 농협은행과 토스뱅크는 딥페이크를 통한 얼굴 인증을 막기 위해 거래 패턴이나 시도 내역을 종합적으로 분석하는 이상거래탐지(FDS) 시스템을 거치도록 설계했다. 농협은행은 "FDS와 연계해 이상 징후가 감지될 경우 선제적인 보호 조치를 한다"고 밝혔으며, 토스뱅크는 "안면 움직임을 실시간으로 분석하는 엔진이 돌아가고 있으며 보안 부서 내 모의 해킹을 통해 딥페이크 우회 가능성도 사전에 차단 중"이라고 말했다. 양자 위협에 따른 연구도 진행 중이다. 양자 암호와 양자 내성 암호와 같은 차세대 보안 기술에 대한 리서치에 돌입한 것이다. 양자 암호는 양자 역학의 물리적 특성을 활용한 물리 계층 보안 기술이며, 양자 내성 암호는 양자컴퓨터의 초고속 연산 공격에 견딜 수 있도록 설계된 차세대 암호 알고리즘으로 정리할 수 있다. 하나은행은 "2022년 은행 최초 양자 암호 통신 시범 인프라 구축 운영에 참여해 현재까지도 양자키분배, 양자 내성 암호 기반 전용 회선을 운영 중"이라고 말했다. 기업은행은 "양자 내성 암호가 금융 업무 환경에 현실적으로 적용 가능한지 여부를 사전 확인하기 위한 선제적 연구 수행 중"이라면서 "실제 금융시스템 적용 전 기술에 대한 타당성 검토 단계"라고 언급했다. 토스뱅크도 양자 내성 시스템 교체 전략을 진지하게 수립 중이다. 토스뱅크 측은 "양자 보안에 관한 연구는 순차적으로 양자 내성 시스템으로 교체하는 전략을 수립 중"이라며 "보완 제품 동향과 관련 솔류션에 대한 기술 검토을 병행하며 보안 환경 변화에 대비하고 있다"고 거론했다. 신한은행 관계자는 "아직 은행 서비스에 적용하기에는 한계가 있고, 충분한 기술력 검증이 필요한 상황"이라면서 "지난 4월부터 서비스 가용성과 보안성을 검증하기 위한 기술검증(PoC)단계에 와있다"고 짚었다. 그럼에도 업계와 학계에서는 현 정부의 보안 거버넌스만으로는 앞으로의 보안 위협을 막을 수 없을 것이라고 경고했다. 우길수 아톤 대표는 "보안 위협 시간은 하루가 다르게 빨라지면서 핀테크와 금융 인프라에 이중의 압력을 가하고 있다"며 "위협 속도는 점점 빨라지는데 제도나 가이드라인인 마련은 속도는 못미치고 있다고 생각한다. 정책과 산업과 현장이 같은 방향을 보고 움직일 때 수행이 원활하게 이뤄질 것"이라고 진단했다. 이어 우 대표는 "AI로 인한 해킹은 몇 시간 안에 들어오는데 (공격자를 위해) 총을 쏠까요 말까요를 묻고 있는 것"이라며 "우리나라도 AI 시대이기 때문에 보안을 실시간으로 진행하고, 사후에 (당국이) 통제하고 감사하는 체계로 바꿔야 할 필요가 있다"고 지적했다. 이상근 고려대 정보보호대학원 교수는 "과거 보안 취약점이 발생하고 공략까지 남은 시간이 2018년에는 2.3년이었다가 2022년 9.7개월, 현재는 10시간으로 대폭 줄었다"면서 "취약점을 막기까지 10시간밖에 없다는 이야기"라고 말했다. 이 교수는 "우리나라 금융사의 경우 망 분리로 인해 네트워크 취약점이 큰 데다가 패치를 업데이트 하는데 오래 걸리거나 시도조차 못하는 경우가 있다"며 "패치 이후 서비스 다운에 대한 운영자 책임에 대한 법적 제도의 정비, 신뢰있게 쓸 수 있는 AI를 위한 보안 분야 예산 확보 등이 필요하다"고 강조했다.

2026.05.12 15:53손희연 기자

"미국은 글래스윙, 한국은 캐노피"...티오리, 보안 대연합 추진

'글래스윙' 프로젝트와 비슷한 보안연합체가 국내 소재 보안기업 티오리를 중심으로 만들어진다. 앤트로픽의 AI 모델 '미토스(Mythos)'가 사이버 환경에 큰 위협이 될 것으로 전망되는 가운데 미토스의 보편화나 앤트로픽의 정보 공유를 무작정 기다릴 수 없다는 것이다. 이를 주도하고 있는 박세준 티오리 대표는 지난 8일 열린 과학기술정보통신부의 미토스 관련 보안 기업 간담회를 마친후 자신의 페이스북에 "간담회 중 많은 참석자들이 미토스가 보편화되거나 글래스윙(Glasswing)에 포함될 때까지 마냥 기다릴 수 없다는 취지의 의견을 줬다"며 "저 또한 이 의견에 격하게 동의하며, 글래스윙보다 더 포괄적인 이니셔티브인 '캐노피 프로젝트(Project Canopy)'를 준비 중"이라고 밝혔다. 박 대표는 세계 최고 권위 해킹대회 '데프콘 CTF'에서 다수 우승한 경력을 갖고 있다. 미토스가 압도적인 취약점 탐지 및 자율 공격 코드 생성 능력을 갖춘 것으로 알려지면서 앤트로픽은 미토스를 공격자가 사용하게 됐을 때의 위험성을 고려해 '글래스윙'이라는 폐쇄형 프로젝트를 통해 자국 내 일부 기업 및 기관에만 한정해 공개했다. 이 프로젝트에는 구글, 마이크로소프트, 애플 등 주요 52개 기업·기관이 참여하고 있다. 11일 과학기술정보통신부(과기정통부)에 따르면 류제명 과기정통부 2차관은 앤트로픽의 마이클 셀리토 글로벌 정책 총괄을 만났으나, 글래스윙 참여 여부는 정해지지 않았다. 앤트로픽에 사이버보안 관련 한국 기업·기관과의 협력을 제안하고, 한국이 취약점 공개에 사전 대비할 수 있도록 정보공유를 요청한 것이 전부다. 박 대표는 "현장에서 관찰한 바는 취약점 발견과 같은 과제는 파운데이션 모델 성능만큼이나 중요한 것이 그 위에 올라가는 시스템"이라며 "티오리가 2주 전 발표한 백서 'You Don't Need Mythos. You Need a system'에서 시판 중인 범용 모델만 쓰고도 Mythos의 결과를 재현하고 앤트로픽에서 언급하지 않은 12건의 제로데이를 추가로 찾은 것도 그 덕분이다. 주권적 파운데이션 모델과 함께 이를 운용하는 독자적 시스템이 같이 있어야 완결이 된다"고 밝혔다. 그는 이어 "5월중 캐노피 프로젝트에 관심 있는 모든 사람, 조직에 소개를 마치고, 6월부터는 실질적인 이니셔티브를 진행해 얼라이언스에 참여한 모든 기업 및 기관이 다가올 쓰나미를 보다 안전하고 단단하게 견뎌낼 수 있도록 할 것"이라며 "이달 중순경 캐노피 프로젝트 이니셔티브에 초대 얼라이언스 멤버로 참여하기로 한 기업, 기관, 부처를 웹사이트를 통해 공개할 것"이라고 말했다.

2026.05.11 20:00김기찬 기자

"AI기반 보안위협 전략 제시"...AI스페라, 'CIPC 2026' 개최

AI스페라가 올해 두 번째 보안 전문 컨퍼런스를 개최한다. 공격표면관리(ASM) 및 위협 인텔리전스(CTI)를 중심으로 한 실무형 인사이트를 제공함으로써 인공지능(AI) 기반 보안 위협에 보안 실무진이 선제적으로 대응할 수 있도록 이정표를 제시한다는 계획이다. AI스페라는 오는 14일 그랜드 인터컨티넨탈 서울 파르나스에서 ASM·CTI 전문 컨퍼런스 'CICP 2026(Criminal IP Conference 2026)'을 개최한다고 11일 밝혔다. CIPC는 AI스페라가 주최하는 보안 전문 컨퍼런스다. 올해 행사는 'AI로 추적하는 공격표면, 확인된 것만 믿는다'를 주제로 열린다. AI 기반 공격이 본격화되는 환경에서 기업이 외부 노출 자산을 어떻게 식벼라고 관리해야 하는지에 대한 방향성을 제시할 예정이다. AI스페라는 AI 기술과 오픈소스 인텔리전스(OSINT) 기반 데이터 수집 역량을 바탕으로 글로벌 150개국에서 서비스 중인 공격표면 기반 CTI 플랫폼 '크리미널IP(Criminal IP)'를 운영하고 있다. 번 컨퍼런스에서는 크리미널IP의 핵심 기술과 신규 업데이트, 실제 고객 사례를 바탕으로 변화하는 보안 환경에 대응하기 위한 운영 전략도 공유한다. 최근 앤트로픽의 AI 모델 '미토스(Mythos)'로 인한 AI 기반 사이버 위협이 부각되고 있다. 이에 기업 보안에서도 외부에 노출된 자산을 정확히 식별하고 선제적으로 관리하는 역량이 더욱 중요해졌다는 것이 AI스페라의 주장이다. CIPC 2026 역시 이같은 흐름에 맞춰 보안 담당자들이 현업에서 참고할 수 있는 실질적인 대응 방향을 제시하는 데 초점을 맞췄다. 이번 행사에는 강병탁 AI스페라 대표를 비롯해 김휘강 AI스페라 공동창업자 겸 고려대 정보보호대학원 교수, 정우철 AI스페라 최고기술책임자(CTO) 등 AI스페라 주요 경영진이 연사로 참여한다. 이들은 AI 시대의 보안 운영 방향, 차세대 ASM 전략, 공급망 보안 리스크 가시화 방안 등을 주제로 발표할 예정이다. 또한 윤영 익스웨어랩스 CEO, 박인환 한화솔루션 전략부문 정보보호사무국 프로, 이재원 호텔신라 정보보호팀 CISO/상무 등 외부 보안 전문가들도 연단에 오른다. 이들은 기업 환경에서의 ASM 활용 사례와 산업별 보안 인사이트를 공유한다. 강병탁 AI스페라 대표는 “지난해 CIPC를 통해 공격표면관리와 위협 인텔리전스에 대한 기업 보안 담당자들의 높은 관심을 확인했다”며 “올해 CIPC 2026은 AI 기반 공격과 자동화된 위협이 본격화되는 환경에서 기업이 외부 공격표면을 어떻게 파악하고 통제해야 하는지 논의하는 자리가 될 것”이라고 말했다.

2026.05.11 09:52김기찬 기자

배 부총리, 보안기업 만나 미토스 대응 논의

정부가 '미토스'에 대응, AI기반 사이버공격에 대한 대응책을 마련, 5월말~6월초 발표한다. 또 배경훈 과기정통부 장관 겸 부총리가 보안산업계 기업인들과 간담회를 갖는 자리도 1~2주안에 마련된다. 과기정통부 최우혁 정보보호네트워크실장은 8일 오후 백브리핑 기자간담회를 열고 이 같이 밝혔다. 앞서 이날 오전 과기정통부는 배경훈 부총리가 참석한 가운데 글로벌 인공지능 기업의 사이버보안 프로젝트 관련 대응방안을 논의하기 위한 간담회를 개최했다. 최 실장 백브리핑은 간담회 내용을 설명하기 위한 것으로 배 총리 지시로 마련됐다. 오전 간담회는 미토스 같은 고성능 AI 모델에 대한 보안 영향과 대응방안을 논의하기 위해 마련했다. SKT, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 참여기업과 주요 AI 기업, 김진수 한국정보보호학회장을 비롯한 AI 보안 분야 학계 전문가, 한국정보보호산업협회장을 비롯한 주요 정보보호기업 대표, 주요 기업 CISO 등이 참석했다. 특히 간담회에서는 과기정통부가 기업 동의를 받고 앤트로픽의 '클로드 오퍼스(OPUS) 4.7'를 활용해 기업 서비스를 모의 침투한 결과도 공유됐다. 발표는 실제 침투 업무를 담당한 한국인터넷진흥원(KISA) 박용규 침해사고대응단장이 했다. 박 단장은 취약점 7개를 찾아낸 과정을 간담회 참석자들에게 시연했다. '미토스'는 미국 AI전문기업 앤트로픽이 개발해 지난달 7일 공개한 범용AI다. 보안 취약점 탐지와 공격이 이전 AI보다 가공할 정도로 좋아 세계에 보안 경계령을 불러왔다. '미토스'의 해킹 능력에 놀란 미국 정부는 즉각 민간 빅테크들과 대응책을 모색했고, 개발사인 앤트로픽은 '글래스윙' 프로젝트라는 이름으로 52개 자국기업과 기관에 이를 제공, 패치 연구를 할 시간을 제공했다. 앤트로픽과 경쟁하고 있는 오픈AI도 지난달 23일 새 AI 'GPT 5.5'를 발표했는데, 일부 해킹 테스트에서 미토스보다 나은 성적을 거뒀고, 자사 사이버보안 협력 프로그램인 TAC(Trusted Access for Cyber)에 참여하는 기업 및 기관에 해당 모델 정보를 우선 제공했다. 최근(7일)에는 TAC 참여 문호를 확대하는 계획도 발표했다. 과기정통부도 미토스 대응책에 긴급 나서 지난달 14일 전국 CISO(약 3만여 개사)를 대상으로 보안대비태세 점검을 요청한 데 이어, 30일에는 'AI 기반 사이버공격 대비 기업 대응 요령 및 CEO 행동 수칙'을 추가로 배포했다. 아래는 최 실장과 기자들간 일문일답 -예정에 없던 기자간담회를 열게 된 이유는 "간담회때 논의한 내용을 부총리께서 언론에 상세히 밝히는 게 좋겠다고 말씀했다. 간담회 내용을 공개 하지 않는 대신 이렇게 백브리핑 자리를 마련했다. 부 총리께서 회의를 주재한 이유는 CISO나 CEO의 단기 대응적인 방법만 제시하는 게 아니라, AI 발 사이버 공격 가능성이 높아져 중장기적이고 체계적인 대응이 필요해졌기 때문이다." -간담회서 나온 내용은 "참석자들은 미토스 같은 AI 보안 모델에 대해 사이버 보안 분야에 상당한 변화를 줄 것이라는 견해가 많았다. 과대평가됐다는 지적도 있었다. 하지만 미토스 같은 형태 고성능의 AI 기반 사이버 방어 및 공격 수단 서비스 등장에 대응책을 모색해야 한다는 것에는 모두가 동의했다. 특히 대규모 취약점이 발생할 가능성과 함께 국내 망분리 환경과 과도한 레거시 시스템에 대한 의존도 같은 우려가 제기됐다. 글래스윙 프로젝트를 거론하며 정부 차원 대응책 요구 마련과 구체적으로 영국 사례도 제시됐다. 기업 또는 기관이 정부의 IT 자산 목록을 제출할 경우 그 자산에 맞춘 사이버 알람이나 정보를 제공하고 있는 영국의 얼리 워닝(Early Warning) 사례도 언급됐다. 유럽의 경우 취약점을 위험도로 분류하고 고위험 경우에는 패치 시한을 1~2주 내로 강제하는 제도를 가지고 있다는 의견도 있었는데, 이런 것은 확인이 필요하다. 이밖에 패치 담당자 책임 완화와 화이트해커의 모의 침투 허용도 거론됐다. 이는 이미 제도적으로 도입하겠다고 발표한 바 있다. 전문인력 양성과 AI보안 모델을 통한 신속한 자동화, AI보안 주권 이야기도 나왔다. 이런 전문가들의 의견에 앞으로 온오프라인 토론을 더해 AI에 따른 정보보호 패러다임 변화를 잘 설계, 5월 말이나 6월 초 언론에 공개하겠다." -글래스윙 프로젝트에 참여하지 못할때를 대비한 프로젝트B가 있나. 독파모의 보안 특화 모델로 충분한가 "회의에 독파모 기업들도 참여했다. 독파모를 가지고, 보안 주권 차원에서 우리도 독파모에서 나오는 훌륭한 AI 시스템을 활용하는 방안을 잘 생각을 해봐야 한다는 논의에 대한 공감대가 있었다. 다만, 그 시기는 지금 제시하기 어렵다. 글래스윙 참여는 앤트로픽과 계속 협의하고 있다." -보안 특화 모델에 대한 구체적인 얘기들이 있었나 "우리나라처럼 '독파모(독립파운데이션모델)'를 추진하는 국가들이 없다. 독파모를 잘 활용, 검토가 필요하다는 거지, 확정적으로, 단정적으로 무조건 하자는 건 아니다. 필요성에 공감하고 있고, 의견 수렴을 한다는 것이다." -클로드 오퍼스 4.7로 시행한 해킹 시연에서 발견된 구체적 취약점을 말해준다면. 미토스가 27년된 버그를 찾아낸 것 처럼... "어떤 솔루션에 대한 취약점을 찾은 것이 아니라, 기업이 운영하고 있는 실제 서비스에 대한 취약점을 찾아 침투하는 과정을 시연했다. 예를 들어 홈페이지가 갖고 있는 인증 우회 취약점이 대표적이다. 이런 취약점을 찾고 이를 통해 계정을 확보하고, 그 계정을 통해 그 사이트에 접속한, 그 일련의 과정을 AI를 통해 한번 시행해봤다. 더 쉽게 말하면, 패스워드를 몰라도 AI가 새 패스워드를 만들어 취약점을 찾은 거다." -류제명 차관이 11일 앤트로픽을 만나는데, 이번 만남에서 글래스윙 프로젝트 참여가 확정되나? 또 안건은? "11일 그런 회의가 있다는 것 까지만 말할 수 있을 것 같다. 구체적인 내용은 여기서 말하기 어렵다. 우리가 아니라 AI실이 담당하고 있다." -글래스윙 프로제트 참여는 아무 기업이나 들어가는게 아닌데, 우리측 에서 누가 담당하고 있나 "글래스윙 창여 기업 및 기관은 52개다. 우리가 (명단) 요구를 요구를 했는데, 비공개 사항이라고 하더라. 우리는 정부 차원에서 대응을 하고 있고, AI 안전연구소와 KISA가 접촉중이다." -과기부만의 단일 대응으로는 어려울 거라는 얘기가 있는데....국정원과 안보실과도 협업을 계획하고 있나 "민간군 체계에서 안보실을 중심으로 대응하고 있다. 범정부적으로 대응을 하고 있다고 봐주시면 된다." -패스워드를 통한 취약점 말고 다른 취약점은? "총 7가지 취약점을 발견했다. AI 해커에 가까운 전문가가 하는 부분, 또 일반 직원이 하는 테스트로도 돌려봤다. 전문 해커가 수작업으로 했다면 며칠 걸릴 일을 AI는 10여 분 만에 찾아냈다. 일반 직원의 경우 프롬프팅도 어렵지만 가드레일을 넘는 것도 쉽지 않았다. "정당한 직원이냐"고 계속 물어본다. 우리가 확인한 건, 일반인은 아니고 전문가 보다는 확실히 AI가 더 빠르다는 것이다. 국회서도 미토스에 대해 물었는데, 미토스는 나중에 공개되면 해 볼 계획이다." -글래스윙 프로젝트 참여 52곳 명단 확보했나? 오픈AI TAC에 참여하는 한국 기업이나 기관 명단 확보하고 있나? 정확히 몇 곳인가? " 확보 못했다. 비공개라고 하더라. TAC에 참여하는 곳은 몇 곳 있다. 기업이나 기관에 공개해도 되는 지 확인해보고 말하겠다." -중장기적으로는 독파모로 특화 모델 만든다고 했는데, 특화 모델 개발에 앞서 다른 AI 보안 솔루션 같은 걸 우선 활용할 계획이 있나 "아까 말했듯이, 중장기적인 대응 방향도 그렇고, 단기적인 대응 방향에 대해 5월말이나 6월초에 저희가 방향을 공개하는 자리를 마련할 예정이다" -결국, 우리 사회가 얼마나 빨리, 1~2일안에 패치를 만들수가 있는 냐가 중요할 듯 하다 "패치에 몇 개월 걸린다는 분도 있고, 패치를 안 하는 곳도 있다. 5월말 6월초 대책에는 패치를 얼마까지 하겠다는 내용은 없다. 정부가 제시하는 것은, 근본적인 대책은 제로트러스트로 넘어가는 수밖에 없다."

2026.05.10 15:07방은주 기자

"미토스에 대항"...정부, AI보안 특화 모델 개발 추진

미국 앤프로픽이 만든 범용AI 모델 '미토스(Mythos)'로 세계가 보안 경계령이 내려진 가운데 우리 정부도 이에 대응, AI 보안 특화 모델 개발을 추진한다. 또 사회 전 분야에 제로트러스트 철학 확산에도 나선다. 이와함께 양자보안 등 원천적인 방어체계 확립 등 관련 대응방안을 각 분야 전문가와 함께 조속히 마련, 시행한다. 우리 사회 정보보호 패러다임도 이제 AI기반 보안으로 서둘러 대전환해야 한다는게 과기정통부 판단이다. 8일 과학기술정보통신부(과기정통부)는 배 부총리가 참석한 가운데 글로벌 인공지능 기업의 사이버보안 프로젝트 관련 대응방안을 논의하기 위한 간담회를 개최, 이 같은 방침을 세웠다. 이번 간담회는 고성능 AI 모델에 대한 보안 영향과 향후 대응방안에 대해 각 분야 전문가의 의견을 충분히 청취하기 위해 마련했다. 행사에는 SKT, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 참여기업과 주요 AI 기업, 한국정보보호학회장을 비롯한 AI 보안 분야 학계 전문가, 한국정보보호산업협회장을 비롯한 주요 정보보호기업 대표, 주요 기업 CISO 등이 참여해, 각 분야의 AI 모델 영향과 향후 대응방안에 대해 다양한 의견을 개진했다. 과기정통부는 "참석자들은 AI 보안모델 영향에 대해 사이버보안 분야에 상당한 변화를 줄 것이라는 견해와, 과대평가된 측면이 있어 우려가 과도하다는 의견 등 평가는 엇갈렸으나, 미토스 등 고성능 AI 기반 사이버보안 서비스 등장에 따라 민관이 함께 머리를 맞대고 장단기 대응방안을 모색해야 할 시점이라는 점에는 의견이 일치했다"고 밝혔다. 이어 "특히, 참석자들은 글로벌 인공지능 기업의 사이버보안 프로젝트 참여 등을 통한 정보비대칭 해소 노력과 함께, AI로 인한 사이버 위협을 AI 보안역량 강화로 대응하기 위해 민관이 합심해 AI 보안주권을 확립하는 일이 무엇보다 중요하다고 강조했다"고 덧붙였다. 최근 미국 AI전문기업 앤트로픽과 오픈AI는 고성능 보안역량을 보유한 자사의 최신 AI 모델을 파트너사에 제공하는 프로젝트를 가동, 주목을 받고 있다. 즉, 앤트로픽은 '글래스윙' 프로젝트를, 오픈AI는 'TAC(Trusted Access for Cyber)' 프로젝트를 가동, 협력기업 및 기관에 관련 보안 정보를 우선 제공했다. 우리도 긴급히 나서, 과기정통부는 전국 CISO(약 3만여 개사)를 대상으로 지난달 14일 보안대비태세 점검을 요청한 데 이어, 30일에는 'AI 기반 사이버공격 대비 기업 대응 요령 및 CEO 행동 수칙'을 추가로 배포했다.

2026.05.08 14:00방은주 기자

[카드뉴스]AI에 브레이크 걸린 미국

안녕하세요, AMEET 기자입니다. 요즘 미국 AI 정책이 그야말로 롤러코스터를 타고 있는데요, 단 3년 만에 규제를 풀었다가 다시 조이는 상황이 반복되면서 업계 전반에 혼란이 커지고 있어요. 특히 주목할 건 전문가들의 시각인데요, 무려 85%가 규제의 부작용을 더 걱정한다고 답했어요. 규제가 오히려 AI 개발을 음지로 몰아넣어 통제 밖의 '그림자 AI'를 키울 수 있다는 거예요. 실제로 규제를 제대로 설계하지 못하면 6개월 안에 큰 손해가 찾아올 수 있다는 경고도 나오고 있어요. 현재 논의되고 있는 '사전 검증제'는 AI가 출시되기 전에 마치 운전면허 시험처럼 정부 심사를 필수로 거쳐야 하는 제도인데요. 안전성을 높이려는 취지와 달리 시장 진입 장벽이 높아지면서 양극화를 부추길 수 있다는 우려도 적지 않아요. 전문가들은 앞으로 시장 양극화와 그림자 AI 확산이 현실화될 가능성을 60%로 가장 높게 보고 있고, 최악의 시나리오도 30%나 돼요. 낙관적인 결말은 고작 10%에 그친다는 점, 꽤 묵직하게 받아들여야 할 것 같죠? AI가 우리 삶 깊숙이 들어온 만큼, 규제의 방향이 어떻게 흘러가느냐는 단순한 정책 문제가 아니에요. AMEET이 앞으로도 AI의 진짜 리스크를 가장 먼저, 알기 쉽게 전해드릴게요! ▶ 해당 보고서 보기 https://ameet.zdnet.co.kr/uploads/a344b504.html ▶ 지디넷코리아가 리바랩스 'AMEET'과 공동 제공하는 AI 활용 기사입니다. 더 많은 보고서를 보시려면 'AI의 눈' 서비스로 이동해주세요. (☞ 보고서 서비스 바로가기)

2026.05.06 20:00AMEET

[단독] '방한' 앤트로픽 글로벌 총괄, 정부와 '미토스 쇼크' 전략 논의

앤트로픽 주요 관계자가 내주 방한해 한국 정부와 '미토스 쇼크' 중심으로 인공지능(AI) 정책 협력을 논의하는 것으로 전해졌다. 6일 업계에 따르면 마이클 셀리토 앤트로픽 글로벌 정책 총괄은 다음 주 한국을 방문해 국가인공지능전략위원회와 면담을 가질 예정인 것으로 확인됐다. 양측은 '미토스'를 중심으로 AI 보안 강화를 위한 정책 논의를 진행할 예정이다. 미토스는 소프트웨어(SW) 취약점 탐지와 사이버 보안 업무에 특화된 앤트로픽 AI 모델이다. 기존 챗봇형 AI보다 복잡한 코드 결함을 찾아내고, 다단계 사이버 공격 시뮬레이션을 분석하는 능력을 강화한 것이 특징이다. 이에 글로벌 AI 산학계에선 미토스 악용 가능성을 우려하고 있다. 앤트로픽은 이에 따라 미토스를 일반 공개하지 않고 일부 고객에게 제한적으로 제공하고 있다. 기업 관계자에 따르면 앤트로픽 측은 배경훈 부총리 겸 과학기술정보통신부 장관과도 면담을 원하는 것으로 알려졌다. 배 부총리 겸 과기정통부 장관은 "AI가 사이버 보안의 공격과 방어 규칙 자체를 바꾸고 있다"며 "AI가 취약점을 먼저 찾고 위험을 예측하며, 공격보다 빠르게 대응하는 보안 체계로 전환해야 한다"고 페이스북을 통해 밝힌 바 있다. 다만 임문영 국가AI전략위 상근 부위원장이 다음 주 앤트로픽과의 면담에 참석할지는 미지수다. 더불어민주당이 내달 3일 치러지는 광주 광산을 국회의원 보궐선거에 임 부위원장을 전략공천하기로 결정해서다. 업계 관계자는 "임 부위원장이 다른 자격으로 면담에 참석할지 또는 대리 참석이 이뤄질지는 미지수"라고 귀띔했다.

2026.05.06 10:41김미정 기자

미토스 쇼크에 놀란 백악관, AI '출시 전 허가제' 만지작

안녕하세요 AMEET 기자입니다. 최근 워싱턴 정가에서 흘러나오는 AI 정책의 기류가 예사롭지 않습니다. 불과 얼마 전까지만 해도 모든 규제를 풀고 기술 패권을 쥐겠다던 도널드 트럼프 행정부의 기조가 180도 바뀌고 있기 때문이죠. 그 중심에는 최근 공개된 앤스로픽의 초거대 모델 '미토스'가 있습니다. 이 모델이 보여준 압도적인 성능과 그에 따른 사회적 파장이 백악관의 생각을 복잡하게 만들고 있는 모양새입니다. 백악관이 검토 중인 'AI 사전 검증제'는 간단히 말해 기업이 새로운 AI 모델을 세상에 내놓기 전에 정부의 허가를 받으라는 것입니다. 마치 신약을 출시하기 전 식약처의 승인을 받는 것과 비슷한 구조죠. 특히 이번 조치는 단순한 보안 점검을 넘어, AI가 화이트칼라 직업군을 얼마나 위협하는지, 그리고 국가 안보에 어떤 위해를 가할 수 있는지를 미리 따져보겠다는 의도가 짙게 깔려 있습니다. 혁신의 발판인가 산업의 족쇄인가, 전문가들이 본 규제의 본질 이 지점에서 AI 전문가들 사이의 논의는 뜨겁게 달아올랐습니다. 논쟁의 출발은 과연 정부가 AI의 위험을 미리 걸러낼 수 있느냐는 '효과성'의 문제였죠. 정책을 설계하는 측면에서는 대규모 악용 사례를 막기 위해 출시 전 심사가 반드시 필요하다고 주장합니다. 데이터의 편향성이나 예측 불가능한 오작동을 실전 배포 전에 최소화할 수 있다는 논리입니다. 하지만 기술 전문가들의 생각은 조금 다릅니다. AI는 고정된 기계가 아니라 배포된 후에도 계속 학습하며 변하는 동적인 존재라는 점을 강조하죠. 한 번 검사를 통과했다고 해서 영원히 안전할 수는 없다는 기술적 한계를 지적한 것입니다. 논점은 자연스럽게 경제적 생존 문제로 옮겨갔습니다. 산업 현장에서는 검증에 소요되는 3개월에서 6개월이라는 시간이 스타트업에게는 '사형 선고'와 다름없다는 우려가 쏟아졌습니다. 막대한 컴퓨팅 자원과 인건비를 쏟아붓는 상황에서 출시가 늦어지면 자본력이 약한 기업부터 무너질 것이라는 분석이죠. 반면 이를 긍정적으로 보는 시각도 있습니다. 오히려 엄격한 검증을 통과한 AI라는 '정부 인증'이 금융이나 의료 같은 고위험 산업군에서는 신뢰의 척도가 되어 더 큰 시장을 열어줄 수도 있다는 기대감입니다. 규제의 역설, 수면 아래로 숨어드는 '그림자 AI'의 탄생 토론의 가장 큰 하이라이트는 규제가 강화될수록 기술이 음지로 숨어드는 '규제의 역설'에 대한 경고였습니다. 전문가들은 정부의 눈을 피해 몰래 개발되거나 규제가 느슨한 해외로 거점을 옮기는 이른바 '그림자 AI'나 '규제 쇼핑' 현상이 가속화될 것으로 내다봤습니다. 안전을 위해 만든 법이 오히려 정부의 감시망을 벗어난 더 위험한 AI를 양산할 수 있다는 섬뜩한 지적이죠. 법률 전문가들 역시 초기 검증이 면죄부가 될 수 없다는 점을 꼬집으며, 나중에 사고가 터졌을 때의 책임 소재를 두고 법적 소송이 빗발칠 것이라는 비관적인 전망을 내놓기도 했습니다. 결국 전문가들의 의견이 모인 지점은 AI의 동적 특성을 인정해야 한다는 것이었습니다. 일회성 사전 검사보다는 배포 후에도 지속적으로 모니터링할 수 있는 체계가 뒷받침되어야 한다는 데에는 이견이 없었습니다. 하지만 규제가 혁신의 동력이 될지, 아니면 미국 AI 산업의 경쟁력을 갉아먹는 족쇄가 될지에 대해서는 여전히 팽팽한 평행선을 달리고 있습니다. 특히 중국과의 기술 전쟁 속에서 미국의 속도가 늦춰지는 것에 대한 공포는 여전히 해결되지 않은 숙제로 남아 있습니다. 백악관의 이번 움직임은 기술의 진보가 인간의 통제 범위를 넘어서려 할 때 국가가 어떤 역할을 해야 하는지에 대한 근본적인 질문을 던지고 있습니다. AI 사전 검증제가 현실화된다면 우리는 이전과는 전혀 다른 기술 생태계를 맞이하게 될 것입니다. 혁신을 지키면서도 안전을 담보할 수 있는 묘수는 있을까요? 정책의 문구가 다듬어지는 사이에도 AI는 쉼 없이 학습을 이어가고 있습니다. 판단의 몫은 정책 입안자들에게 있지만, 그 기술과 함께 살아갈 미래의 책임은 결국 우리 모두의 손에 쥐어져 있습니다. ▶ 해당 보고서 보기 https://ameet.zdnet.co.kr/uploads/a344b504.html ▶ 지디넷코리아가 리바랩스 'AMEET'과 공동 제공하는 AI 활용 기사입니다. 더 많은 보고서를 보시려면 'AI의 눈' 서비스로 이동해주세요. (☞ 보고서 서비스 바로가기)

2026.05.06 10:05AMEET

"미토스보다 해킹 능력 더 뛰어난 AI 등장"

'미토스'보다 더 뛰어난 AI가 있다고? 영국 AI보안연구소(AISI, AI Security Institute) 테스트 결과, 오픈AI가 지난달 23일 공식 출시한 'GPT 5.5'가 정보보호 분야의 대표 해킹 테스트인 'CTF(Capture The Flag)'에서 '미토스 프리뷰'보다 더 뛰어난 성적을 거둔 것으로 나타났다. AISI는 영국 과학혁신기술부 산하 기관으로 2023년 11월 출범했다. '미토스'는 앤트로픽이 지난달 7일 공개했다. 보안 취약점 탐지 능력이 가공할 정도로 좋아 세계에 사이버 안보 경보음을 울렸고, 보안전문가들은 미토스 같은 AI가 계속 나올 것으로 전망했는데, 실제 미토스보다 해킹 능력이 우수한 AI가 이미 등장한 것이다. AISI는 지난달 30일 자체 홈페이지에 '오픈AI의 GPT-5.5 사이버 역량 평가(Our evaluation of OpenAI's GPT-5.5 cyber capabilities)' 결과 보고서를 올렸다. 이에 따르면, 고급 CTF(Capture The Flag) 테스트에서 'GPT 5.'5는 '미토스 프리뷰'보다 더 높은 점수를 받으며 1위를 차지했다. 테스트는 GPT 5.5를 비롯해 ▲미소스 프리뷰 ▲GPT 5.4 ▲GPT 5.4 사이버 ▲GPT5 ▲소넷4.5(Sonnet 4.5) ▲코덱스(Codex) 5.2 ▲코덱스 5.3 ▲오퍼스(Opus) 4.6 ▲오퍼스(Opus) 4.7 등 10개 AI모델을 대상으로 했다. AISI 연구진은 네 가지 난이도로 구성한 총 95개의 세부 사이버 과제로 모델의 능력을 측정했다. 이 과제들은 CTF 형식으로 제작했고, 취약점 탐색과 악용 능력, 리버스 엔지니어링, 웹 공격, 암호 해독 등 핵심 보안 역량을 시험하도록 설계했다. CTF는 참가자들이 시스템을 공격하거나 방어하면서 숨겨진 플래그(flag)라는 문자열(정답 코드)을 찾아 제출해 점수를 얻는 방식으로 순위를 가린다. 우리나라를 포함해 세계 보안산업계에서 가장 많이 사용하는 보안 능력 평가 테스트다. AISI 테스트는 기본 과제와 고급 과제 두개로 구분해 이뤄졌다. 기본 난이도 과제는 탐색 범위가 작고 해결 단계도 짧아 최신 AI들이 거의 모두 완벽히 해결했다. 하지만 고급과제에서 AI모델들의 능력이 갈렸다. 이 과제는 AISI가 보안업체 크리스탈 피크 시큐리티(Crystal Peak Security)와 이레귤로(Irregular) 협력을 받아 만들었다. 현실적인 목표 시스템과 최신 방어기법을 상대로 취약점 탐색과 공격 능력을 집중적으로 측정하게 설계했다. 탐색 범위가 기본보다 훨씬 넓고 복잡하며, 해결에 필요한 단계 수도 많았다. 고급과제로 제시한 문제는 ▲함수명과 디버그 정보를 삭제한 실행 파일과 소스코드 없는 임베디드 펌웨어 역엔지니어링 ▲스택 및 힙 오버플로우와 use-after-free(UAF, 프로그램이 이미 해제(free)된 메모리를 다시 사용하는 것) 취약점에 대해 신뢰성 있게 동작하는 탐지도구(익스플로잇) 개발 ▲타입 혼동 취약점(type confusion)-패딩 오라클 공격, 논스 재사용 공격을 통해 암호 키 복구 ▲취약한 난수 생성기(RNG)를 노리는 공격 ▲권한이 높은 코드 경로에서 TOCTOU(Time Of Check To Time Of Use) 경쟁 상태를 이용해 공격에 성공 ▲난독화된 악성코드를 분석 가능하도록 풀어내기 ▲실제 오픈소스에 심어 놓은 인위적(합성) 취약점을 찾아내고 이를 공격용으로 활용하기 등이였다. 평가 결과, GPT-5.5는 최고 난도인 엑스퍼트(Expert) 과제에서 평균 71.4%의 성공률을 기록했다. 미토스 프리뷰 68.6%, GPT-5.4 52.4%, Opus 4.7 48.6%보다 높았다. (아래 이미지 참조) 하지만 CTF 외의 테스트에서는 '미토스 프리뷰'가 챗GPT 5.5보다 성능이 좋았다. 사이버 공격은 여러 단계를 연결해야 하는데, 이를 평가하기 위해 AISI 연구진은 여러 대의 호스트와 서비스, 취약점을 순차적으로 연결한 가상 네트워크 환경인 '사이버 레인지'를 사용했다. 평가 대상 '사이버 레인지'는 두 개였다. 이 중 첫번째인 'The Last Ones(TLO)'이라는 32단계 기업 네트워크 공격 시뮬레이션(사람 보안 전문가라면 약 20시간이 걸릴 것으로 추정)에서 미토스는 최초 성공한데 이어 10번 시도 중 3번 성공했다. 반면 GPT-5.5는 10번 시도 중 2번 전체 과정을 완수했다. TLO 성능은 투입되는 추론 연산량이 많아질수록 계속 향상됐다.(아래 이미지 참조) 두 번째 사이버 레인지는 '쿨링 타워(Cooling Tower)'라는 7단계 산업제어시스템(ICS) 공격 시뮬레이션으로, AISI가 핵더박스(Hack The Box)와 함께 제작했다. AI 에이전트는 발전소 환경에 침투해 웹 노출형 인간-기계 인터페이스(HMI)를 장악하고, 독점 제어 프로토콜과 암호 인증 방식을 분석한 뒤, 최종적으로 PLC(Programmable Logic Controller)를 조작해 물리적 공정을 방해해야 했는데(사람 보안 전문가라면 약 15시간이 걸릴 것으로 추정), 이 과제는 미토스와 GPT-5.5 모두 해결하지 못했다. AISI는 "GPT-5.5가 일반 사용자에게 그대로 제공되는 것은 아니다"면서 "실제 공개 서비스에는 추가 안전장치, 모니터링, 접근 통제가 적용된다"고 밝혔다. 이어 "이번 결과는 사이버 공격 능력의 급격한 향상이 특정 모델 하나의 예외가 아니라, 장기적 자율성·추론·코딩 능력 향상의 부산물일 수 있음을 보여준다. 가까운 미래에 더 강력한 모델들이 연이어 등장하며 사이버 능력도 빠르게 높아질 가능성이 있다"고 해석했다. 한편 '미토스 프리뷰'를 만든 앤트로픽도 미토스를 발표하며 "앞으로 미토스 같은 AI가 계속 나올 것"이라고 밝힌 바 있다.

2026.05.02 22:57방은주 기자

백악관-앤트로픽, '미토스' 추가 제공 놓고 충돌

괴물AI라 불리는 '미토스(Mythos)' 확대를 놓고 이를 만든 미국 AI기업 앤트로픽과 미국 정부가 충돌을 빚고 있다. 근착 월스트리트 등 외신에 따르면 앤트로픽은 70개 정도 미국 기업 및 기관에 미토스를 추가로 제공하려했는데 백악관이 이를 반대하며 제동을 걸었다. 지난달 7일 미토스를 개발해 공개한 앤트로픽은 보안 탐지 기능이 너무 뛰어나다는 이유로 일반에 공개하지 않고 대신 미국 빅테크 기업과 금융기업, 안보와 관련한 미국 기관 등 약 50곳에만 미토스를 우선 제공한 바 있다. 앤트로픽은 우선 제공한 50곳의 명단을 공개하지 않았는데, 현재까지 미토스를 받은 곳으로 알려진 곳은 AWS, 애플, 마이크로소프트, 구글, 엔비디아, 브로드컴, 시스코, 크라우드스트라이크, 리눅스파운데이션 등 빅테크 기업과 보안 전문기업 팔로알토네트웍스, 여기에 금융기업 JP모건체이스 등이다. 미토스는 안전하다고 여겨지던 컴퓨터 운영체계로 사람이 지난 27년간 찾지 못하던 오픈BSD의 보안 허점을 찾아냈을 뿐 아니라 16년간 방치된 동영상 재생 소프트웨어(FFmpeg)의 결함도 발견했다. 최신 인터넷 브라우저인 파이어폭스(Firefox)의 이중 방어막을 뚫어내는 실험에서도 기존 AI(Opus 4.6)가 단 2건 성공할 때 미토스는 181건을 성공, 압도적인 파괴력을 증명했다. 특히 오류를 찾아내는 데 그치지 않고, 그 오류를 어떻게 파고들어야 시스템을 마비시킬 수 있는지 '공격 코드'까지 스스로 만들어내 우려를 더했다. 월스트리트저널에 따르면, 이런 미토스에 대해 최근 앤트로픽은 약 70개의 기업 및 기관에 추가로 제공하는 방안을 백악관에 이야기했는데 보안 우려를 이유로 반대 의사를 전달받았다. 일부 백악관 관계자들은 "앤트로픽이 그렇게 많은 기관에 서비스를 제공할 만큼 충분한 컴퓨팅 자원을 확보하지 못했고, 그 결과 정부가 미토스를 효과적으로 활용하는 데 차질이 생길 수 있다"고 우려한 것으로 알려졌다. 하지만 앤트로픽 설명은 백악관과 일부 차이가 있다. 이 사안에 대해 앤트로픽 여대변인은 "정부와 생산적인 협의를 진행 중이며 컴퓨팅 자원 부족은 문제가 아니다"고 설명했다. 와중에, 미국시각 지난달 30일 미국 상원 군사위원회 청문회에 출석한 헤그세스 국방부 장관이 앤스로픽을 겨냥해 “이념적 미치광이(ideological lunatic)에 의해 운영되는 회사가 우리가 하는 일에 단독 결정권을 가지면 안 된다”고 강도 높게 비난, 양측 관계가 여전히 순탄치 않음을 보여줬다. 백악관이 미토스 출시 과정에 직접 관여하는 이유는 이 모델이 국가안보에 미칠 잠재적 위험 때문이다. 미토스는 소프트웨어 취약점을 찾아내고 이를 악용하는 능력이 뛰어난 것으로 알려져 최근 몇 주 동안 미국 정부기관과 기업에 상당한 충격을 줬다. 한편 트럼프 행정부는 과거 미 국방부와의 군사용 AI 활용 문제를 둘러싸고 앤트로픽과 충돌, 이 갈등은 현재 두 건의 소송으로 이어지고 있다.

2026.05.02 15:32방은주 기자

AI로 금융 보안 중요성 커져…금보원, 보안 전략 논의

금융보안원은 지난 29일 서울 플라자 호텔에서 금융회사 인공지능 전환(AX)·디지털자산 담당 임원, 빅테크·전자금융업 및 가장사잔 업계 대표 50여명 등을 초청해 '디지털 금융 보안 전략 세미나'를 개최했다. 이번 세미나는 AX와 디지털 자산의 제도권 편입 등 금융 생태계 대전환의 시대를 맞아, 새로운 보안 리스크를 예방하고 산업 전반의 신뢰성 확보 방안을 공동으로 모색하기 위해 마련했다. 특히 실제 침해사고 기반의 모의해킹 및 디지털 자산 주요 해킹 사례와 AI 레드티밍 가상시연 등을 통해 최신 보안 위협과 대응 방안을 생동감 있게 전달하는 데 중점을 뒀다. 세미나는 고려대학교 AI보안연구소장인 이상근 교수의 '에이전틱 AI 시대의 사이버보안'을 주제로 한 특별강연을 시작으로, 3개의 심층 세션으로 진행됐다. 첫 번째 세션에서는 '디지털 월렛 시대, 새로운 보안 책임' 간편인증 체계 및 디지털 월렛의 보안 전략을 점검하고, 실제 금융침해사고에 기반한 모의해킹 사례를 통해 대응 방안을 제시하는 형태로 열렸다. 이어 두 번째 세션에서는 '금융 AI 신뢰 조건'을 주제로 개최됐다. 앤트로픽의 '클로드 미토스' 등 AI를 악용한 해킹 위협이 고조되는 만큼, AI 특화 보안 위협에 대한 방어 체계가 주요 내용이다. 아울러 금융분야 인공지능 가이드라인에 대한 설명화 함께 금융 AI 에이전트 도입 본격화에 따른 대응 전략을 공유했다. 세 번째 세션에서는 스테이블코인과 STO을 중심으로 디지털자산 생태계의 신뢰 확보를 위한 보안 전략을 논의하고, 실제 디지털자산 발행 및 유통 과정에서 발생할 수 있는 주요 해킹 사례를 공유했다. 박상원 금융보안원장은 환영사를 통해 "보안은 첨단 기술이 고객에게 안전하게 닿을 수 있도록 보증하는 가장 강력한 신뢰의 조건이자 핵심 경쟁력 그 자체"라며 "앞으로도 산업 간의 경계를 넘어 AX 보안 전략, 디지털 자산 생태계의 안전성 확보 등 금융보안의 핵심 현안을 심도 있게 논의할 수 있는 교류의 장을 지속적으로 마련할 것"이라고 밝혔다.

2026.04.30 18:32김기찬 기자

"AI발 '해킹 대재앙' 이미 시작됐다"

"인공지능이 단순히 정보를 나열하는 수준을 넘어 스스로 공격 시나리오를 설계하고 실행하는 '에이전틱 AI' 시대로 진입한 만큼, 기존의 경계 중심 방어 모델을 '제로 트러스트' 기반의 실시간 대응 체계로 전면 전환해야 합니다." 강병탁 AI스페라 대표는 지난 28일 유튜브 '토크IT'에서 '강병탁의 진짜 보안 이야기 ep.3'에 출연해 앤트로픽(Anthropic)이 발표한 AI 모델 '클로드 미토스(Claude Mythos)'가 보안 환경에 미치는 영향에 대해 이같이 밝혔다. 강 대표는 이번 미토스 발표를 기점으로 인공지능(AI)이 단순한 코딩 보조 도구를 넘어, 해킹의 전체 과정을 자동화하는 '지능형 에이전트'로 진화하고 있다고 진단했다. 그는 "이제 해커는 프롬프트 몇 줄로 정찰부터 취약점 분석, 공격 실행까지 수행하는 고도화된 AI를 활용하게 될 것"이라며, "AI가 주도하는 사이버 첩보전이 일상이 되는 시대에는 과거의 보안 솔루션은 사실상 무용지물"이라고 경고했다. 강 대표는 단순히 미래의 경고가 아니라, 이미 '해킹 대재앙'의 서막이 올랐다고 진단했다. 미토스 발표로 AI발 위협이 급증한 것이 아니라, 지난해 터진 잇단 해킹 사고만 봐도 위협은 이미 늘어났다는 설명이다. 현재 보안 업계는 그 어느 때보다 급박한 전환기를 맞이하고 있다. 기존의 정적인 보안 모델로는 폭발적으로 증가하는 AI 기반의 자동화된 공격을 막아낼 수 없다는 위기감이 팽배하다. 업계는 이제 단순한 방어 제품 판매를 넘어, 실시간으로 변화하는 공격 표면을 식별하고 AI의 속도에 맞춰 대응할 수 있는 '자동화된 보안 프로세스'의 내재화를 생존의 핵심 현안으로 삼고 있다. 이러한 흐름은 단순한 기술 도입이 아니라 보안 패러다임 자체의 대전환을 요구하고 있는 것이다. 특히 강 대표는 AI가 불러온 '패치 과부하(Patch Overload)' 문제를 심각한 위협으로 지목했다. 미토스와 같은 모델이 수천 개의 취약점을 단시간에 발견해내면서, 보안 담당자들은 감당하기 힘든 수준의 패치 공세에 직면하게 됐다는 것이다. 강 대표는 "취약점이 실시간으로 쏟아지는 상황에서, 내부 회의와 책임 소재를 따지느라 몇 주씩 패치를 미루는 기업은 결국 AI 해커의 손쉬운 먹잇감이 될 수밖에 없다"며 "AI의 공격 속도는 기하급수적으로 빨라지는데 기업의 의사결정 속도는 여전히 관행에 묶여 있는 것이 가장 큰 보안 구멍"이라고 지적했다. 그는 이러한 위협에 대응하기 위한 핵심 전략으로 '외부 공격 표면 관리(ASM)'와 '위협 인텔리전스(TI)'의 내재화를 제시했다. 강 대표는 "이제는 '무엇을 방어할 것인가'를 고민하기 전에 '우리에게 무엇이 노출되어 있는가'를 먼저 파악하는 것이 보안의 시작"이라며, "솔루션 도입에만 의존하는 시대는 끝났다. 기업이 보유한 IT 자산, 섀도우 IT, 관리되지 않는 계정을 실시간으로 식별하고 제어할 수 있는 가시성을 확보하는 것이 곧 기업의 핵심 경쟁력이 될 것"이라고 역설했다. 국내 보안 시장과 국가적 차원의 대응에 대한 제언도 덧붙였다. 강 대표는 "AI가 국가 기반 시설을 노리는 시대에는 정부와 민간이 위협 정보를 실시간으로 공유하고, 이를 자동화된 방어 체계로 즉각 연결하는 생태계 구축이 필수적"이라며, "정부는 개별 기업이 해결하기 어려운 고도화된 위협 요소를 법적·제도적 틀 안에서 선제적으로 차단하는 능동적인 보안 행정을 펼쳐야 한다"고 주장했다. 강 대표는 "결국 미래 보안은 기술의 속도 경쟁"이라며 "경영진이 보안을 단순히 비용으로 인식하는 수준에서 벗어나 핵심성과지표(KPI)로 관리하고, 조직 전체의 보안 프로세스를 자동화·내재화하는 기업만이 AI 시대의 주도권을 쥐고 생존하게 될 것"이라고 강조했다.

2026.04.29 20:40김기찬 기자

[기고] 독자적 AI 없이는 사이버 안보도 없다

최근 '미토스(Mythos)'로 대표되는 사이버 공격 자동화 특화AI는 사이버 보안의 패러다임을 근본적으로 변화시키고 있다. 인공지능은 더 이상 방어 수단에 활용되는 것에 머물지 않고, 취약점 탐지부터 공격 실행까지 전 과정을 자동화하는 공격 도구로 진화하고 있다. 이로 인해 공격 준비 시간은 수 시간에서 수 분으로 단축되고, 피싱 등 사회공학 공격 생성 속도도 획기적으로 빨라지면서 공격자의 효율성이 비약적으로 증가하고 있다. 이러한 변화는 사이버 보안 대응 방식의 근본적 전환을 요구한다. 과거의 사후 대응 중심 보안은 한계에 직면했으며, 이제는 상시적 공격 환경을 전제로 한 선제적·지속적 대응이 필수적이다. 특히 소프트웨어 공급망, 인증 체계, 개인정보 기반 공격 영역에서 AI는 비숙련 공격자도 고도화된 공격을 수행할 수 있게 만들고 있다. 이에 대한 대응은 다층적이어야 한다. 먼저 외교 차원에서 우리나라는 고성능 공격형 AI에 대한 접근 제한이 사이버 안보 격차로 이어질 수 있음을 인식하고, 미국 정부 및 주요 AI 기업과의 협력을 통해 위협 정보 공유와 공동 대응 체계를 강화해야 한다. 동시에 AI 공격 기술 확산을 억제하기 위한 국제 규범 형성에서도 적극적 역할이 요구된다. 정부 차원에서는 기존에 구축된 취약성 및 패치 정보의 실시간 공유 체계의 효과성을 실질적으로 제고하는 것이 중요하다. 이를 위해 민관 협력 기반의 국가 차원의 사이버 보안 거버넌스를 강화하고, 정책 실행력과 현장 대응력을 높여야 한다. 또한 주요 정보시스템 전반에 걸쳐 제로트러스트 기반 보안 구조로의 전환을 병행해야 한다. 기업 역시 인공지능 기반 취약성 탐지와 정보 공유를 통한 신속한 패치 체계를 구축해야 한다. 특히 외부 접점에서 발생하는 취약성에 대한 선제 대응과 함께, AI 기반 보안 자동화와 다층적 보안 구조로의 전환을 통해 대응 역량을 고도화해야 한다. 장기적으로는 소버린 AI 기반 기술에 기반한 자체 사이버 공격 특화의 인공지능 서비스 역량 확보와 개발이 핵심 과제다. 이를 위해 인재 양성, AI 인프라 확충, 데이터 주권 강화, AI 활용 사이버 보안 연구개발을 병행해야 한다. 결국 '미토스 쇼크'는 분명한 메시지를 던진다. 우리나라가 독자적 인공지능 모델 확보를 통해 사이버보안 특화 인공지능의 설계·운영·검증·보호할 수 있는 역량을 확보하는 것이 시급한 과제가 됐다. 그래야만 우리의 사이버 공간을 효과적으로 보호하고, 고도화하는 위협에 독자적으로 대응할 수 있기 때문이다.

2026.04.29 09:01염흥열 컬럼니스트

"미토스처럼 보안위협 당장 현실화...수요자 중심 해결해야"

조국혁신당 이해민 의원이 엔트로픽 미토스 논란을 두고 과학기술정보통신부에 “어떤 정책을 앞으로 세우더라도 보안 기술과 관련된 것은 수요자 중심으로 해결해야 한다”고 주문했다. 이 의원은 28일 열린 국회 과학기술정보방송통신위원회 전체회의에서 “좋은 정책을 만들고 있다는 것은 공급자 입장이고, 실제 보안 위협을 느끼는 기업이나 국민은 (정책을) 기다려 줄 수가 없다”며 이같이 말했다. 과기정통부에서 추진하고 있는 보안 대응 정책들이 중장기 과제로 설계된 점을 두고, 당장 시급한 정책에 대응하지 못한다는 우려에 따른 것이다. 예컨대 AI를 통한 해킹 대응은 5개년 사업으로 잡혀있고, 한국인터넷진흥원이 AI 사이버 예방체계를 구축하는 내용은 내년 신규사업 목표로 두고 있다. 그런 가운데 미토스 위협은 당장의 과제로 꼽힌다. 글래스윙 프로젝트로 미토스 취약점을 찾아낸 뒤 90일 후 전면 공개키로 했는데, 당장 7월 초로 시간이 넉넉하지 않다는 것이다. 즉, 기술개발 속도를 법제도와 정책이 따르지 못해 무용지물이 될 수 있다는 우려다. 이 의원은 “미토스처럼 글로벌 AI 보안 위협이 당장 현실화가 됐는데 우리 정부 사업은 지금까지 해오던 관성에 따르고 있다”며 “일하는 체질을 바로 바꿀 수는 없으나 미토스를 통해 우리가 뭔가 배우는 교훈이 있어야 한다”고 했다.

2026.04.28 14:50박수형 기자

괴물 AI '미토스' 거센 후폭풍…패치 쓰나미 부르나

보안 측면에서 '괴물AI'로 평가받고 있는 '미토스(Mythos)'를 시범 사용하고 있는 미국 테크 기업들의 반응이 나왔다. 지투 페이털 시스코 사장 겸 최고제품책임자는 "미토스 이전과 이후 세계가 완전히 다르다”며 미토스의 성능이 놀랍다고 밝혔다. '미토스'를 만든 미국 AI스타트업 앤트로픽은 지난 7일(현지시간) 이 제품을 선보이며 보안 측면에서 가공할 위력이 있어 일반 공개를 하지 않는다고 밝혔다. 대신 미국 테크기업(마이크로소프트, 아마존 등)과 금융회사(JP모건), 기관 등 약 40여곳에 시범적으로 우선 제공하며 패치(보안 결점 보완 SW)를 만들라고 한 바 있다. 실제 '미토스'는 사람이 지난 27년간 찾지 못한 취약점을 자율적으로 찾아내는 등 보안면에서 여러 놀라움을 선사했다. 이 취약점은 오픈BSD(OpenBSD)의 TCP(Transmission Control Protocol) 스택 내부에 존재하고 있었는데, 오픈BSD는 세계에서 가장 보안이 강화된 운영체제(OS) 중 하나다. 그동안 수많은 코드 감사와 퍼싱 테스트(취약점을 찾기 위해 자동으로 이상한 입력값을 대량으로 넣어보는 것)를 했지만 찾지 못했다. 이외에도 '미토스'는 모든 주요 웹 브라우저에서 발견된 제로데이 취약점을 발견했고, 파이어폭스(Firefox)에서만 181개의 공격 경로를 뚫었다. 특히 여러 개의 약점을 이어 하나의 거대한 공격 경로(Exploit Chain)를 만들어낸다. 이런 가공할 보안 취약점 때문에 앞으로 '패치 쓰나미'가 올지로 모른다는 우려를 낳고 있다. 25일 파이낸셜타임스(FT)에 따르면, 실제 이런 일이 발생할 우려가 높으며, 이에 미토스 접근 권한을 가진 기업들은 "핵심 인프라 방어를 위한 공동 대응을 촉구하고 있다"고 전했다. '미토스'로 인해 소프트웨어 업데이트가 급증하며, 이 과정에서 국가 핵심 인프라가 해커들에게 노출될 위험이 커지고 있다는 것이다. 미국 은행 피프스 서드 뱅크(Fifth Third Bank)의 최고재무임원 브라이언 프레스튼(Bryan Preston)은 자사의 기술 제공업체인 마이크로소프트가 미토스 출시 이후 약 150건에 달하는 소프트웨어 업데이트를 배포했다고 밝혔다. 세계적 보안기업 팔로알토네트웍스의 유럽·중동·아프리카 지역(EMEA) 최고보안책임자 하이더 파샤(Haider Pasha)는 미토스가 발견하는 취약점 규모가 '패치 홍수(flood of patches)'를 불러일으킬 수 있다면서 "시스템을 안정적으로 운영해야 하는 기업들에게 큰 부담이 될 수 있다"고 지적했다. 파샤는 특히 미토스 같은 첨단 AI 모델이 여러 취약점을 연쇄적으로 결합해 보안 시스템을 우회할 수 있는 능력을 갖고 있다는 점이 우려된다고 덧붙였다. 이에, 보안 전문가들은 소프트웨어 개발자들이 사용자 부담을 줄이기 위해 업데이트를 선택적으로 배포해야 할 필요가 있다고 제언했다. 앤트로픽은 지난 7일 미토스를 공개하며 인간보다 빠르게 보안 취약점을 탐지할 수 있는 능력을 강조했는데, 팔로알토는 "이 기술이 빠르게 확산할 경우, 보호 장치가 없는 환경에서 해커들이 '지금까지 없던 수준의 자율 공격 에이전트'를 개발할 수 있다"고 경고했다. 특히 미국 보안 전문가들은 '미토스'로 인해 국가 핵심 인프라가 주요 공격 대상이 될 가능성이 크다며 우려했다. 시스코 페이털 사장은 "국가 인프라 시스템은 오래된 소프트웨어를 사용하는 경우가 많다. 공격자 입장에서 가치가 높은 목표다"고 지적했다. 그는 “패치를 적용하려면 때로 시스템을 중단해야 하는데, 대부분 조직은 이를 감당하기 어려워 정해진 시간에만 시스템을 멈추고 업데이트를 진행한다”고 짚었다. 한편, 앤트로픽은 일부 비인가 사용자들이 서드파티(제3 협력자)를 통해 미토스에 무단 접근했다는 블룸버그 보도에 대해 조사 중이라고 최근 밝힌 바 있다. .

2026.04.26 23:14방은주 기자

"생체인증 넘어 AI 에이전트도 승인"…옥타코, '이지핑거' 고도화

아이덴티티 및 접근관리(IAM) 전문 기업 옥타코가 자사 생체인증 솔루션을 인공지능(AI)의 행동 승인 장치로 고도화할 방침이다. 생체 인증뿐 아니라 AI 중요하거나 위험할 수 있는 일을 함부로 실행하지 못하도록 막는 일종의 '안전장치'로 기능을 확대하겠다는 복안이다. 이재형 옥타코 대표는 24일 지디넷코리아와 만나 "옥타코 '이지핑거' 솔루션을 AI 자율행동 실행을 인간이 승인하도록 통제하는 장치로 고도화할 계획"이라고 밝혔다. 이지핑거는 PC 로그인은 물론, 구글, 마이크로소프트 등의 로그인 과정에서 비밀번호 입력 없이 지문 인증 만으로 로그인이 가능한 솔루션이다. 현존하는 가장 강력한 보안 국제 표준인 'FIDO2' 인증을 받은 솔루션으로, 피싱 레지스턴트 기반 MFA(다중 속성 인증) 제품으로 알려져 있다. 옥타코는 이지핑거 솔루션을 AI가 위험한 작업을 요청할 경우 사람이 직접 인증하고, 승인된 작업만 실행할 수 있도록 고도화한다는 방침이다. 이지핑거는 사용자가 직접 지문을 입력해야 하기 때문에 복제가 어렵고, 원격 공격자가 대신 누를 수 없다는 특징이 있다. AI가 혼자 결정하지 못하는 마지막 열쇠가 됨과 동시에 누구도 복제할 수 없는 나만의 열쇠가 되기도 한다. 옥타코는 이지핑거 보안키가 만든 승인 결과를 검증하는 서버를 거쳐 실제 사용자인지를 추가로 검증한다. 가짜 로그인 화면이나 피싱 사이트에 속지 않도록 설계된 옥타코 '피싱 레지스턴트(저항) MFA'를 통해서 승인한 사람, 시점, 대상 행동 등을 정확히 묶어 확인하는 절차를 거친다. 정말 본인이 이 작업을 승인했는지 판정하는 시스템이다. 최근 IT 환경은 AI로 인해 급격하게 변했다. AI 에이전트가 단순히 사용자의 요청에 응답하는 것에서 나아가 스스로 판단하고 자율적으로 행동한다. 이 행동 과정에서 프롬프트 인젝션(가로채기) 등 악의적인 명령을 공격자가 내릴 수 있기 때문에 AI 에이전트의 행동을 실시간으로 모니터링하고, 권한에 제약을 둬야 할 필요가 있다. AI를 쓰면서도 사람이 직접 통제할 수 없는 환경이 될 경우, AI가 고객 데이터를 외부로 보내도 즉시 대처하기 어렵다. 또한 공격자가 관리자 권한 변경을 유도할 수 있고, 중요 데이터를 AI가 임의로 삭제 또는 실행할 우려도 나온다. 이같은 일이 이미 벌어진 이후에는 누가 승인했는지 책임을 추적하기 어려운 상황이 빚어질 수도 있다. 실제 앤트로픽의 보안 특화 AI '미토스(Mythos)'가 취약점을 스스로 찾고 공격 코드까지 자동 생성하는 능력을 갖춘 AI가 악의적 공격자에게 악용될 경우 조직의 침해사고로 직결될 우려도 나온다. AI의 자율성이 높아질수록 공격에 악용될 가능성도 커지는 만큼 AI의 행동을 직접적으로 통제할 필요는 비례한다.

2026.04.25 13:36김기찬 기자

[기고] 미토스와 AI 거버넌스

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주] 최근 AI 기업 앤트로픽이 공개한 '클로드 미토스' 모델이 법조계와 보안업계를 포함한 산업 전반에 큰 화두를 던졌다. 미토스는 사람이 찾지 못한 보안 시스템 취약점을 파악하는 탁월한 성능을 가지고 있다. 기존 AI가 사용자의 지시를 성실히 수행하는 역할을 했다면 미토스는 스스로 시스템 취약점을 찾아낼 뿐만 아니라 이를 공격하는 방법까지 고안해 내는 모델이다. 이러한 기술적 특이점은 우리로 하여금 그동안 구축해 온 규제 체계가 과연 새로운 기술에도 적용가능한지 고민하게 한다. 정보보안 체계가 이 수준의 지능적 위협에 안전한지, 기업이 법령상 보호조치를 준수한 것만으로 면책될 수 있는지가 문제다. 급변하는 기술 환경과 규제 동향에 비춰볼 때 새로운 기술의 등장에 발맞춘 법령 개정이나 제정 등이 필요한 것은 아닌지 살펴볼 필요가 있다. 현재 시행 중인 AI 기본법은 고위험 영역 AI 개발자에게 안전성 확보의무를 부과한다. 개인정보보호법에선 개인정보처리자에게 안전조치의무를 부과한다. 각 법령은 데이터의 유출·변조 방지를 위한 기술적·관리적 보호와 위험관리체계 구축과 같은 의무를 부과한다. 기관과 기업 등이 미토스와 같은 모델을 활용한다면 이들의 법령 준수 여부보다 AI가 생성하는 공격 코드에 적시에 대응할 수 있는 고도화된 기술적 보호조치를 했는지로 판단하는 것이 타당하다. 진정한 기술 발전은 규제와 진흥 균형에서 나온다. 과도한 규제는 국내 기업의 발목을 잡을 수 있지만 명확하고 합리적인 기준은 기업들이 예측 가능한 환경하에 놓이도록 한다. 기업이 수행할 역할을 정해줌으로써 혁신의 돛이 될 수 있다. 이를 위해 기업은 법령 체크리스트를 채우는 수준을 넘어 내부적인 AI영향평가 등을 투명하게 기록해야 한다. AI 진화는 거스를 수 없는 거대한 흐름이다. 15년 전 스마트폰 등장이 법조계 지형을 근본적으로 바꿨듯 미토스로 대변되는 고성능 AI는 우리 사회 보안과 프라이버시 패러다임을 다시 쓰기를 요구하고 있다. 여전히 가장 중요한 가치는 신뢰다. 기업은 자신의 AI가 안전하다는 것을 데이터와 거버넌스로 증명해야 하고 정부는 그 증명의 기준을 합리적으로 제시하며 혁신을 뒷받침해야 한다. 미토스가 던진 질문은 단순히 발전된 기술로 인한 위협과 공포가 아니다. 우리가 급변하는 이 거대한 변화를 감당할 만큼 책임 있는 시스템을 구축하고 있느냐는 법치주의적 성찰이다. 이제 속도 경쟁을 넘어 우리 사회가 수용 가능한 발전의 질을 고민해야 할 골든타임이다.

2026.04.24 17:00이강혜 컬럼니스트

"공개 미룬 앤트로픽 '미토스', 위험성 과장됐다"

사이버 범죄 악용 우려로 일반 공개를 미뤘던 앤트로픽의 취약점 탐지 인공지능(AI) 모델 '미토스(Mythos)' 위험성이 실제보다 과장됐다는 지적이 제기되고 있다. 미토스가 취약점 탐지 효율을 높여주는 유용한 도구라는 점은 인정되지만 앤트로픽이 강조한 수준의 압도적 위협 모델로 보기는 어렵다는 평이다. 이런 평가를 토대로 미토스가 과대 평가된 측면이 있다는 분석까지 나오고 있다. 여기에 제한적으로 운영되던 프리뷰 버전에 일부 비인가 사용자가 접근한 사실까지 알려지면서 미토스는 성능 논란과 함께 보안 관리 부실 문제까지 겹쳐 비판받고 있다. 23일(현지시간) 더레지스터 등 외신에 따르면 미토스 프리뷰 버전을 체험한 초기 사용자들은 아직 인간 보안 연구원을 대체할 수준은 아니라고 평가했다. 평가자들은 "보안 담당자의 시간을 절약해주는 자동화 도구로서는 환영할 만하다"면서도 "앤트로픽이 강조했던 '엄청난 해킹 도구' 수준에는 미치지 못한다"는 반응이다. AWS와 모질라 등 초기 테스트 참여 기업은 미토스가 취약점을 빠르게 찾아내 보안 팀의 시간을 절약해 주는 유용한 도구임은 인정하면서도, 인간 보안 연구원의 능력을 뛰어넘지는 못했다고 평가했다. 모질라의 바비 홀리 최고기술책임자(CTO)는 "미토스가 파이어폭스 150에서 271개의 취약점을 발견했지만, 엘리트 인간 연구원이 찾을 수 없는 종류나 복잡성의 취약점은 단 하나도 없었다"고 밝혔다. 전 세계를 위협할 만한 제로데이 머신이라기보다는 훌륭한 자동화 보조 도구에 가깝다는 것이다. 보안 연구원들도 앤트로픽의 주장이 부풀려졌다고 비판했다. 데반시 연구원은 미토스의 테스트 결과를 분석한 뒤 "발견된 버그 자체는 진짜지만 미토스에 대한 이야기는 오정보와 과장으로 점철되어 있다"고 지적했다. 앤트로픽이 주장한 파이어폭스 익스플로잇은 보안 장치인 브라우저 샌드박스가 해제된 유리한 환경에서 실행되었으며 상당한 수준의 인간 개입이 필요했다. 또 리눅스 커널 버그는 미토스가 아닌 공개 모델인 '오퍼스 4.6(Opus 4.6)'이 발견한 것으로 드러났다. 또 다른 연구원 다비 오텐하이머는 앤트로픽의 244페이지 분량 문서에 실제 제로데이에 대해 CVE 목록, CVSS 분포 등 정확한 지표가 전혀 없다고 지적했다. 공격형 AI 해킹 기업 호라이즌3의 스네할 안타니 최고경영자(CEO)는 이번 사태에 대해 "솔직히 말해 아무것도 아닌 일(nothingburger)이다"라며 "해커들은 당신을 해킹하기 위해 굳이 미토스를 필요로 하지 않는다. 4.6이나 다른 오픈소스 모델들로 이미 취약점 연구를 충분히 가속화하고 있기 때문"이라고 일축했다. 당초 앤트로픽은 미토스가 강력한 '제로데이(Zero-day) 해킹 머신'이 될 수 있다며 일시적으로 일반 공개 대신 금융사와 IT 기업을 대상으로 제한적으로 제공할 것이라고 밝혔다. 이에 따라 '프로젝트 글래스윙(Project Glasswing)'이라는 이름 아래 제한된 조직에만 프리뷰 형태로 모델을 제공해왔다. 하지만 지난 수요일 앤트로픽 대변인은 공식 생산 API가 아닌 제3자 벤더 환경을 통해 글래스윙 파트너가 아닌 일부 인원이 미토스 프리뷰에 무단 접근한 사실을 확인하고 조사 중이라고 밝혔다. 블룸버그 통신에 따르면 이번 유출은 앤트로픽 등 주요 AI 연구소에 인력을 공급하는 스타트업 '머코어(Mercor)'의 최근 데이터 유출 사태와 연관이 있다. 비공개 디스코드 채널 소속인 소수의 인원이 기존 앤트로픽 모델들의 패턴을 바탕으로 미토스의 온라인 위치(URL)를 유추해 접근에 성공한 것이다. 다행히 이들은 악의적인 목적 없이 단순히 모델을 테스트해 본 것으로 알려졌다. 보안업계는 이번 사태를 두고 정교한 해킹 공격이 아닌 협력업체와 단순한 예측만으로 접근이 이루어졌다는 점을 꼬집었다. 기만 기술(Deception-tech) 기업 아칼비오의 람 바라다라잔 CEO는 "미토스 유출은 정교한 공격이 필요 없이 그저 계약업체, URL 패턴, 출시 첫날의 추측만으로 충분했다"며 "이는 모델의 성능이 문제 되기도 전에 통제된 배포 모델이 가장 취약한 고리에서 실패했음을 의미한다"고 지적했다.

2026.04.24 11:26남혁우 기자

'미토스'로 커진 AI 해킹 공습…대책은 3년째 '제자리'

앤트로픽의 인공지능(AI) 모델 '클로드 미토스(Claude Mythos)' 사태로 '제로트러스트(Zero Trust)' 도입이 새로운 대응책으로 떠오르는 모양새다. AI가 스스로 취약점을 찾아내고 공격 수행까지 자동화하는 상황에서 하루 빨리 현장에 강력한 보안 아키텍처를 안착시켜야 한다는 데 공감대가 형성되고 있는 것이다. 그러나 현장의 시계는 3년째 멈춰 서 있다. 미토스로 '공격의 지능화'가 급속도로 빨라진 것과 대조적인 모습이다. 김인현 한국제로트러스트보안협회 회장은 22일 지디넷코리아와 통화에서 "기존 보안 패러다임이 제로트러스트로 대폭적인 전환을 이뤄야 하는데 말로만 논의되고 있으며, 정책이나 기업이 실제 도입 과정에서는 여러 이해관계 때문에 진행이 가로막힌 상황"이라며 "이대로라면 1년 뒤에는 대한민국이 미토스 등 보안 이슈에 발목잡힐 가능성이 큰 상황으로 가고 있다"고 우려했다. 김 회장은 "먼저 우리나라의 환경, 기업, 정책과 맞물려 제로트러스트를 도입할 수 있는 역량이 키워져야 한다"고 강조했다. 그는 또 "정부 차원에서 실증 사업이나 국가정보원의 보안 지침 등을 내리고 있는데, 지금보다 더 적극적으로 나서 더 많은 예산과 정책적 역량을 쏟아 부어야 할 상황이다"면서 "그러나 제로트러스트 가이드라인 2.0이 2024년 발표된 이후 1년 넘게 넋 놓고 있는 상황이 안타깝다"고 밝혔다. "AI 보안 위협은 '상수'…제로트러스트 확립돼야" '미토스'는 스스로 보안 취약점을 찾아낼 뿐 아니라 악성코드 설계 등 공격 시나리오 구성 역량도 뛰어난 것으로 알려졌다. 27년간 찾아내지 못했던 취약점도 쉽게 분석해 보안업계 전반에 걸쳐 긴장 수위를 높이고 있다. 정부는 미토스발 보안 위협을 최소화하기 위해 대응에 나섰다. 과학기술정보통신부(과기정통부)는 지난 14일과 15일 통신 3사 및 주요 플랫폼, 정보보호 기업들과 양일간 간담회를 개최했다. 간담회에서는 제로트러스트 등 강력한 보안 체계가 필요하다는 데 의견이 모아졌다. 김진수 한국정보보호산업협회(KISIA) 회장은 "AI로 인한 보안 위협은 상수라는 가정하에 철통 인증(제로 트러스트) 보안 체계가 기업과 각 기관에 확립돼 있어야 한다"고 강조했다. 문제는 우리나라의 제로트러스트 도입 현황이 심각한 상황이란 점이다. 실제로 늘어나는 공격 역량 대비 제로트러스트 기반 보안 체계 확립 수준은 처참할 정도다. 먼저 2024년 제로트러스트 도입 시범사업에 착수한 이후 3년째 실증 과정만 거치고 있다. 사업 규모도 지난해 56억3700만 원 수준에 그쳤다. 제로트러스트 지원 예산 또한 2024년 62억원에서 올해 45억 원으로 쪼그라들었다. 반면 미국은 지난 2021년부터 제로트러스트 도입을 준비하기 시작해 10년간의 로드맵을 마련했다. 2026년 기준 5년간 제로트러스트 성숙도 역시 우리나라와 달리 크게 높아진 상태다. 이재형 옥타코 대표는 "미국의 국립표준기술연구소(NIST)가 발표한 'NIST SP 1800-35'를 보면 기업 및 기관이 제로 트러스트 아키텍처(ZTA)를 실제 환경에 구현할 수 있도록 실용적인 가이드라인과 사례를 제공하고 있다"면서 "19개 그룹 시나리오가 만들어져 있는데, 예를 들면 (제로트러스트 구현까지)신원 인증이 없는 경우 어떤 신원 인증 체계를 도입해야 하는지, 신원 인증과 네트워크까지 연동해야 하는 경우 어떻게 준비하면 되는지 등 웬만한 예상 시나리오별 제로트러스트 구현을 위한 가이드라인이 마련돼 있다"고 설명했다. 이 대표는 이어 "반면 우리나라는 개별 솔루션 일부가 특정 부분만 제로트러스트 기반으로 방어할 수 있는 정도"라고 지적했다. "5년간 2조5000억 원 쏟아 부어야 제로트러스트 전환 가능" 미국이 구체적인 가이드라인을 기반으로 10년 로드맵을 착실히 이행하며 성숙도를 높여가는 것과 달리, 한국은 파편화된 솔루션 도입에 그치고 있다는 비판이다. 이에 이 대표는 현장에 제로트러스트 안착을 위해 정부의 과감한 정책적 결단과 예산 투입이 필수라고 지적했다. 이재형 대표는 미토스 사태로 제로트러스트 도입을 가속화하기 위한 방향성으로 사업 규모 확대, 본사업 착수, 법제화 등을 주문했다. 그는 "미토스에 대항하기 위한 제로트러스트 전환을 정부가 제대로 구현하기 위해서는 과기정통부가 제로트러스트 사업을 5년 동안 총 2조5000억 원(연간 5000억 원) 규모로 만들어야 한다"면서 "전국에 120개의 지자체가 있는데 각 지자체별로 30억~50억 원가량을 과기정통부가 제로트러스트 사업비로 내려줘야 한다. 이후 지자체는 이 예산으로 제로트러스트 구현에 필요한 IAM(ID 및 접근 관리), XDR(확장형 대응 탐지), ZTNA(제로트러스트 네트워크 접근) 등 분야별로 예산을 책정하고 도입할 필요가 있다"고 강조했다. 그는 "실제로 폐쇄회로(CC)TV 통합관제 사업도 5년간 행정안전부가 5000억 원씩 투입해 현재 물리보안 체계를 마련했다"면서 이같은 대안의 필요성을 재차 강조했다. 제로트러스트 도입을 명문화하면서 확산 속도를 끌어올려야 한다는 주장도 나왔다. 최영철 SGA솔루션즈 대표는 "미토스 사태를 보면 우리도 모르는 사이 취약점이 쏟아져 나오면서 공격 표면이 굉장히 넓어졌다고 볼 수 있는데, 필연적으로 내부 침투 경로가 많아지면 어느 단계에서든 침투를 탐지하고 차단할 수 있어야 한다. 촘촘한 보안 체계인 제로트러스트 적용이 필수적인 이유"라며 "그러나 제로트러스트가 현장에 도입되는 속도는 많이 느린 상태"라고 설명했다. 최 대표는 이어 "민간 분야에서 제로트러스트 확산 속도를 높이기 위해서는 보안 컴플라이언스와 연계해 확산 노력을 가져갈 필요가 있다"면서 "실증 사업으로 제로트러스트 도입 수요와 공급을 잇는 마중물이 됐다면, 이제는 보안 통제 기능을 제로트러스트 방식으로 구현하기 위한 제도적 명문화 작업을 거쳐 시장을 활성화해야 할 것"이라고 강조했다. 한국정보보호학회 제로트러스트연구회 위원장을 맡고 있는 이석준 가천대 스마트보안학과 교수는 "지난 2021년 미국이 제로트러스트를 도입할 때 대통령 행정명령에서 '엄청난 변화를 줘야 한다'면서 예산 투입이 눈에 띄어야 한다고 지목한 바 있다"면서 "결국 우리나라도 이같은 정책적 의지가 필요하다. 실증 사례 확보 및 확산 전략이 불필요하다는 것이 아니라, 정책적인 의지가 부재한 상태에서 실증 사례를 보고 민간에서 알아서 제로트러스트를 도입하라고 하는 방향성은 잘못됐다고 생각한다"고 지적했다. 이 교수는 "공공에서 제로트러스트를 도입하고 민간으로 확산해야 하는데, 이를 위해서는 각급 기관이 제로트러스트 도입을 위한 충분한 예산이 근본적으로 뒷받침돼야 한다"며 "인력 또한 국가정보원이 지침으로 제시한 정보화 인력의 10%나 15% 수준으로 정해놓는 것이 아니라 제로트러스트 확산을 위해 획기적인 인력 확충 노력이 필요하다"고 강조했다.

2026.04.22 17:34김기찬 기자

  Prev 1 2 3 4 Next  

지금 뜨는 기사

이시각 헤드라인

최태원 SK 회장 "반도체, 과거 사이클 벗어나 구조적 변화…공급 확대 총력"

테슬라, FSD 구독제 전환…일시불 904만원→월 15만원

태양 수명 다해도 지구는 살아남는다..."기존 가설 뒤집혔다" [우주로 간다]

애플, 오픈AI 전격 제소…"영업비밀 훔쳤다"

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.