'미토스'로 커진 AI 해킹 공습…대책은 3년째 '제자리'
앤트로픽의 인공지능(AI) 모델 '클로드 미토스(Claude Mythos)' 사태로 '제로트러스트(Zero Trust)' 도입이 새로운 대응책으로 떠오르는 모양새다. AI가 스스로 취약점을 찾아내고 공격 수행까지 자동화하는 상황에서 하루 빨리 현장에 강력한 보안 아키텍처를 안착시켜야 한다는 데 공감대가 형성되고 있는 것이다. 그러나 현장의 시계는 3년째 멈춰 서 있다. 미토스로 '공격의 지능화'가 급속도로 빨라진 것과 대조적인 모습이다. 김인현 한국제로트러스트보안협회 회장은 22일 지디넷코리아와 통화에서 "기존 보안 패러다임이 제로트러스트로 대폭적인 전환을 이뤄야 하는데 말로만 논의되고 있으며, 정책이나 기업이 실제 도입 과정에서는 여러 이해관계 때문에 진행이 가로막힌 상황"이라며 "이대로라면 1년 뒤에는 대한민국이 미토스 등 보안 이슈에 발목잡힐 가능성이 큰 상황으로 가고 있다"고 우려했다. 김 회장은 "먼저 우리나라의 환경, 기업, 정책과 맞물려 제로트러스트를 도입할 수 있는 역량이 키워져야 한다"고 강조했다. 그는 또 "정부 차원에서 실증 사업이나 국가정보원의 보안 지침 등을 내리고 있는데, 지금보다 더 적극적으로 나서 더 많은 예산과 정책적 역량을 쏟아 부어야 할 상황이다"면서 "그러나 제로트러스트 가이드라인 2.0이 2024년 발표된 이후 1년 넘게 넋 놓고 있는 상황이 안타깝다"고 밝혔다. "AI 보안 위협은 '상수'…제로트러스트 확립돼야" '미토스'는 스스로 보안 취약점을 찾아낼 뿐 아니라 악성코드 설계 등 공격 시나리오 구성 역량도 뛰어난 것으로 알려졌다. 27년간 찾아내지 못했던 취약점도 쉽게 분석해 보안업계 전반에 걸쳐 긴장 수위를 높이고 있다. 정부는 미토스발 보안 위협을 최소화하기 위해 대응에 나섰다. 과학기술정보통신부(과기정통부)는 지난 14일과 15일 통신 3사 및 주요 플랫폼, 정보보호 기업들과 양일간 간담회를 개최했다. 간담회에서는 제로트러스트 등 강력한 보안 체계가 필요하다는 데 의견이 모아졌다. 김진수 한국정보보호산업협회(KISIA) 회장은 "AI로 인한 보안 위협은 상수라는 가정하에 철통 인증(제로 트러스트) 보안 체계가 기업과 각 기관에 확립돼 있어야 한다"고 강조했다. 문제는 우리나라의 제로트러스트 도입 현황이 심각한 상황이란 점이다. 실제로 늘어나는 공격 역량 대비 제로트러스트 기반 보안 체계 확립 수준은 처참할 정도다. 먼저 2024년 제로트러스트 도입 시범사업에 착수한 이후 3년째 실증 과정만 거치고 있다. 사업 규모도 지난해 56억3700만 원 수준에 그쳤다. 제로트러스트 지원 예산 또한 2024년 62억원에서 올해 45억 원으로 쪼그라들었다. 반면 미국은 지난 2021년부터 제로트러스트 도입을 준비하기 시작해 10년간의 로드맵을 마련했다. 2026년 기준 5년간 제로트러스트 성숙도 역시 우리나라와 달리 크게 높아진 상태다. 이재형 옥타코 대표는 "미국의 국립표준기술연구소(NIST)가 발표한 'NIST SP 1800-35'를 보면 기업 및 기관이 제로 트러스트 아키텍처(ZTA)를 실제 환경에 구현할 수 있도록 실용적인 가이드라인과 사례를 제공하고 있다"면서 "19개 그룹 시나리오가 만들어져 있는데, 예를 들면 (제로트러스트 구현까지)신원 인증이 없는 경우 어떤 신원 인증 체계를 도입해야 하는지, 신원 인증과 네트워크까지 연동해야 하는 경우 어떻게 준비하면 되는지 등 웬만한 예상 시나리오별 제로트러스트 구현을 위한 가이드라인이 마련돼 있다"고 설명했다. 이 대표는 이어 "반면 우리나라는 개별 솔루션 일부가 특정 부분만 제로트러스트 기반으로 방어할 수 있는 정도"라고 지적했다. "5년간 2조5000억 원 쏟아 부어야 제로트러스트 전환 가능" 미국이 구체적인 가이드라인을 기반으로 10년 로드맵을 착실히 이행하며 성숙도를 높여가는 것과 달리, 한국은 파편화된 솔루션 도입에 그치고 있다는 비판이다. 이에 이 대표는 현장에 제로트러스트 안착을 위해 정부의 과감한 정책적 결단과 예산 투입이 필수라고 지적했다. 이재형 대표는 미토스 사태로 제로트러스트 도입을 가속화하기 위한 방향성으로 사업 규모 확대, 본사업 착수, 법제화 등을 주문했다. 그는 "미토스에 대항하기 위한 제로트러스트 전환을 정부가 제대로 구현하기 위해서는 과기정통부가 제로트러스트 사업을 5년 동안 총 2조5000억 원(연간 5000억 원) 규모로 만들어야 한다"면서 "전국에 120개의 지자체가 있는데 각 지자체별로 30억~50억 원가량을 과기정통부가 제로트러스트 사업비로 내려줘야 한다. 이후 지자체는 이 예산으로 제로트러스트 구현에 필요한 IAM(ID 및 접근 관리), XDR(확장형 대응 탐지), ZTNA(제로트러스트 네트워크 접근) 등 분야별로 예산을 책정하고 도입할 필요가 있다"고 강조했다. 그는 "실제로 폐쇄회로(CC)TV 통합관제 사업도 5년간 행정안전부가 5000억 원씩 투입해 현재 물리보안 체계를 마련했다"면서 이같은 대안의 필요성을 재차 강조했다. 제로트러스트 도입을 명문화하면서 확산 속도를 끌어올려야 한다는 주장도 나왔다. 최영철 SGA솔루션즈 대표는 "미토스 사태를 보면 우리도 모르는 사이 취약점이 쏟아져 나오면서 공격 표면이 굉장히 넓어졌다고 볼 수 있는데, 필연적으로 내부 침투 경로가 많아지면 어느 단계에서든 침투를 탐지하고 차단할 수 있어야 한다. 촘촘한 보안 체계인 제로트러스트 적용이 필수적인 이유"라며 "그러나 제로트러스트가 현장에 도입되는 속도는 많이 느린 상태"라고 설명했다. 최 대표는 이어 "민간 분야에서 제로트러스트 확산 속도를 높이기 위해서는 보안 컴플라이언스와 연계해 확산 노력을 가져갈 필요가 있다"면서 "실증 사업으로 제로트러스트 도입 수요와 공급을 잇는 마중물이 됐다면, 이제는 보안 통제 기능을 제로트러스트 방식으로 구현하기 위한 제도적 명문화 작업을 거쳐 시장을 활성화해야 할 것"이라고 강조했다. 한국정보보호학회 제로트러스트연구회 위원장을 맡고 있는 이석준 가천대 스마트보안학과 교수는 "지난 2021년 미국이 제로트러스트를 도입할 때 대통령 행정명령에서 '엄청난 변화를 줘야 한다'면서 예산 투입이 눈에 띄어야 한다고 지목한 바 있다"면서 "결국 우리나라도 이같은 정책적 의지가 필요하다. 실증 사례 확보 및 확산 전략이 불필요하다는 것이 아니라, 정책적인 의지가 부재한 상태에서 실증 사례를 보고 민간에서 알아서 제로트러스트를 도입하라고 하는 방향성은 잘못됐다고 생각한다"고 지적했다. 이 교수는 "공공에서 제로트러스트를 도입하고 민간으로 확산해야 하는데, 이를 위해서는 각급 기관이 제로트러스트 도입을 위한 충분한 예산이 근본적으로 뒷받침돼야 한다"며 "인력 또한 국가정보원이 지침으로 제시한 정보화 인력의 10%나 15% 수준으로 정해놓는 것이 아니라 제로트러스트 확산을 위해 획기적인 인력 확충 노력이 필요하다"고 강조했다.
