'미토스'에 놀란 세계..."사이버보안 새 시대 예고"
미국 AI 전문기업 앤트로픽이 만든 최신 AI모델 '미토스(Mythos)'가 사이버보안의 새로운 시대를 예고했다는 평가다. '미토스'는 Claude Mythos Preview의 코드명이다. 특히 제로데이 취약점 탐지와 취약점(익스플로잇) 생성 능력이 기존 AI보다 가공할 정도로 뛰어난 것으로 알려졌다. 단순히 코드를 생성하는 AI가 아니라 자동으로 취약점을 찾고 실제 공격 코드까지 만들어낼 수 있는 '자율 보안 분석 AI'라는 점에서 사이버보안 분야에 큰 충격을 줬다. 미국 CBS뉴스는 "미토스가 지구에 있는 컴퓨터의 모든 보안 취약점을 탐지할 수 있다"고 보도하기도 했다. 근착 외신에 따르면, '미토스' 관련 프로젝트인 '글래스윙(Glasswing)'에서 앤트로픽은 “AI 모델은 이제 소프트웨어 취약점을 찾고 악용하는 능력에서 최상위 인간 전문가를 제외한 대부분을 능가하는 수준에 도달했다"고 평하기도 했다. '글래스윙' 프로젝트는 '미토스'의 보안 취약점을 찾는 것으로 앤트로픽을 비롯해 WS, 애플, 브로드컴, 시스코, 구글, 크라우드스트라이크, JP모건, 리눅스파운데이션, MS, 엔비지아, 팔로알토 등 미국계 글로벌 빅테크 12곳이 초기 멤버로 참여했다. 이들 12곳 외에 약 40곳이 '파토스' 접근 권한을 받았다. 앤트로픽은 관련 보고서를 오는 7월초쯤 공개할 예정이다. 샌프란시스코에 본사가 있는 앤트로픽은 '미토스'의 위력이 매우 강력하기 때문에 일반에 공개하지 않고, 대신 '미토스'가 발견한 취약점을 수정할 수 있게 '글래스윙 프로젝트'를 론칭, 프로젝트 참여 기업 및 기관에 우선 제공했다. 현재 이들 기업과 기관은 '미토스'를 활용해 자사 소프트웨어와 시스템의 핵심 취약점을 찾아 수정하고 있는 것으로 알려졌다. 미국 보수 미디어 '더 크리스쳔 사이언스 모니터'는 미토스 등장에 대해 "해커와 사이버보안 기업 사이의 오랜 '군비 경쟁'이 핵 수준으로 격화됐다"면서 "앤프로픽 주장대로라면 앞으로 이들간 경쟁은 훨씬 더 빠르고 정교하며 규모도 커질 것"이라고 보도하기도 했다. 비영리단체 AI Safety Center의 연구원 만타스 마제이카는 "이것(미토스 등장)은 AI가 초래하는 사이버 위험에 대해 전면적인 대응이 시작되는 초기 단계라고 볼 수 있다"고 짚었다. '미토스' 공개 이전, 시간을 작년 9월로 되돌려 보면, 앤트로픽은 누군가가 자사의 인공지능 소프트웨어를 매우 정교한 스파이 작전에 활용하고 있다는 사실을 발견하고 조사에 착수했다. 당시 사이버 공격에서 특히 눈에 띈 점은 중국 정부가 후원했을 가능성이 높은 해커들이 공격 과정에서 AI에 크게 의존했다는 것이였다. 조사 결과, AI는 단순히 공격자에게 조언하는 수준이 아니라 공격의 상당 부분을 실제로 수행했다. 앤트로픽은 '미토스'를 최첨단 범용 인공지능 모델로 개발했다. 하지만 앤트로픽이 확인한 바에 따르면, 이 모델은 소프트웨어 버그를 탐지하는 능력에서 큰 도약을 이뤘을 뿐 아니라, 더 나아가 이러한 버그들을 어떻게 활용해 시스템을 공격할 수 있는지-때로는 여러 취약점을 동시에 결합해-파악하는 능력에서도 크게 발전한 것으로 나타났다. 실제, 앤트로픽은 최근 자사 홈페이지 게시글에서 '미토스'가 주요 모든 운영체제와 웹 브라우저에서 심각한 취약점을 발견했다면서 세 가지 사례를 들었다. ▲첫째, 방화벽 운용에 사용하는 오픈BSD(OpenBSD)에서 사람이 발견하지 못한 지난 27년간 존재한 취약점을 발견, 이를 악용하면 원격에서 시스템을 다운시킬 수 있는데, 오픈BSD는 세계서 가장 강력한 보안을 지닌 것으로 평가받는 OS 중 하나고 ▲많이 사용하는 영상 인코딩·디코딩 소프트웨어 'FFmpeg'에서는 16년 된 취약점을 발견했으며, 역시 이를 통해 장치를 다운시키거나 장악할 수 있으며 ▲여러 리눅스 코드 문제를 조합해 리눅스, 서버를 장악할 수 있는 공격 방법도 찾아냈는데, 리눅스는 세계 대부분의 서버에서 사용하고 있다. '미토스'는 이런 가공할 기능과 함께 사람은 도저히 따라가기 힘든 AI만의 특성인 자동화와 이에 따른 빠른 시간과 '대량생산'면에서도 우려를 던진다. 즉, 대부분 기술 기업은 취약점 발견부터 패치까지 과정이 전문가가 취약점 발견->악용 가능성 분석후 회사 보고->회사가 패치 개발, 이런 순서를 거치는데 이 과정이 보통 수개월 걸린다. AI는 이 과정을 크게 줄인다. 보스턴의 AI 보안 분석가 앨리 멜런은 “이번 발표 내용이 사실이라면, 이제 취약점 발견부터 악용까지 걸리는 시간이 극적으로 줄어들고 있다는 뜻이라면서 "화이트해커 뿐 아니라 블랙해커, 국가 단위 공격 조직, 사이버 범죄 집단 모두가 취약점을 발견하고 악용할 수 있는 시간 간격이 매우 짧아지고 있다"고 진단했다. 소규모 기업은 더 위험하다. 이처럼 속도가 빨라지면 취약점 수정에 필요한 자원이 부족한 중소기업은 가장 큰 위험에 노출된다. 시애틀 보안기업 루타 시큐피티(Luta Security)의 창립자 케이티 무수리스는 “현재의 소프트웨어 보안 관행으로는 이 위협을 감당하기 어렵다. 앞으로 1년간 엄청난 규모의 버그와 패치가 쏟아질 텐데, 공격 측 AI 발전 속도에 맞먹는 수준의 방어 측 혁신이 필요하다"면서 "패치 방식과 시스템 접근 방식을 전반적으로 다시 생각해야 한다"고 밝혔다. '미토스'에 대해 이런 시각도 있다. '미토스' 같은 AI를 활용해 개발 단계부터 취약점을 사전에 발견한다는 것으로, 사이버보안 커뮤니티가 해커보다 한발 앞설 가능성이 있다는 것이다. 노스웨스턴대 컴퓨터과학자 V.S. 수브라마니안은 "(미토스 등장은) 악의적 공격자보다 앞서 나갈 수 있는 기회로 본다. 이제 우리는 시스템에 존재할 수 있는 취약점을 미리 찾아낼 수 있는 능력을 갖게 됐다"고 진단했다. 이어 그는 "정책 측면에서는 AI기업과 사이버보안 기업, 산업계, 정부간 협력과 대화가 필요하다"고 덧붙였다. '미토스' 등장을 놓고 미국 일각에서는 중국을 우려하는 목소리도 나왔다. 노스웨스턴대 수브라마니안 교수는 "중국의 사이버 역량은 매우 강력하다. 벌써 앤트로픽을 오래전에 해킹했을 가능성이 있다. 이미 비슷한 기술을 확보했거나 곧 확보할 수 있다고 생각한다"고 말했다. 앞서 앤트로픽 CEO 다리오 아모데이는 경쟁사들이 미토스 수준에 도달하는 데 6~18개월 정도밖에 걸리지 않을 것이라고 말한 바 있다. 한편 '미토스'에 대해 일각에서는 IPO를 앞둔 앤트로픽의 마케팅적 시각도 제시했다.
