이상근 고려대 교수 “미토스, AI의 사이버 무기화 앞당겼다”
앤트로픽이 새 인공지능(AI) 모델 ‘클로드 미토스 프리뷰’를 공개한 이후, AI 기반 사이버 위협에 대한 우려가 점점 커지고 있다.
이상근 고려대학교 정보보호대학원 스마트보안학부 교수(AI보안연구소장)는 23일 서울 여의도 FKI타워 컨퍼런스센터에서 열린 ‘프론티어 AI 미토스 공개 보류 사태와 국가 및 기업 사이버 위기 대응 전략 긴급좌담회’에서 “미토스의 등장은 AI의 사이버보안 역량이 대규모 공격 도구로 전환될 수 있음을 보여준 사례”라고 진단했다.
이 교수는 미토스를 단순히 성능이 높은 보안 모델로 설명하지 않았다. 그는 “공격자와 방어자 모두 이미 AI를 실제 사이버 현장에 투입하고 있고, 미토스는 그 흐름을 한 단계 더 밀어 올린 모델”이라며 “AI를 공격과 방어에 활용하는 것은 이미 2년 정도 진행된 흐름이라, 지금 벌어지는 변화는 미래 가능성이 아니라 현재 진행형”이라고 설명했다.
중국 GTG-1002 사례가 보여준 AI 해킹의 현재
미토스를 설명하기에 앞서, 이 교수는 먼저 중국 해킹 조직 GTG-1002의 사례를 들었다. GTG-1002는 AI를 잘 활용하는 해커 조직으로, 표적 선정부터 정찰·매핑, 취약점 공략, 인증정보 수집, 데이터 추출, 자동 문서화까지 공격 전 과정을 AI로 잇는 방식으로 움직이는 것으로 알려져 있다. 정찰은 어떤 시스템에 약점이 있는지 훑는 단계이고, 공략은 실제로 그 약점을 뚫는 도구를 만드는 단계다. 이 교수는 “크레덴셜, 즉 아이디와 비밀번호 같은 인증정보를 모으고, 접근 가능한 자산을 다시 AI로 훑은 뒤, 우선순위를 매겨 데이터를 빼내는 공격을 감행한다”며 “마지막에는 다음 공격을 더 빨리 시작하기 위해 문서화까지 AI가 맡았다”고 했다.
그는 이 사례를 두고 “AI가 이미 해킹에 사용되고 있다는 점이 굉장히 구체적으로 밝혀진 경우”라며 “사람이 일부 단계를 돕는 수준이 아니라, 공격 흐름 전체가 자동화된 점을 핵심”이라고 강조했다. AI가 적용되면서 공격자의 숙련도와 속도, 반복성이 함께 올라가는 구조가 만들어졌다는 것이다.
방어자들도 AI를 활용하고 있다. 이 교수는 미국 방위고등연구계획국의 인공지능 사이버 챌린지(AIxCC)를 예로 들며, “결승에서 5400만줄 규모 코드에서 취약점 86%를 찾아내고 68%를 자율 패치하는 결과가 나왔다”고 설명했다. 구글의 ‘빅 슬립(Big Sleep)’도 자율 에이전트 기반으로 취약점을 찾아 실제 공격을 사전에 차단한 사례로 언급했다. 이 교수는 “공격자만 AI를 쓰는 시대가 아니라 방어자도 AI를 실전에 붙이기 시작한 시대”라고 봤다.
미토스는 왜 위험한가
이 교수는 미토스를 “코딩, 추론, 사이버보안, 장문맥에서 이전 세대와 완전히 차별화된 다음 세대 모델”로 규정했다. 장문맥은 긴 글이나 수만 줄 코드 같은 긴 입력을 한 번에 읽고 이해하는 능력이다. 그는 이 능력이 특히 취약점 분석에서 중요하다고 설명했다. 실제 코드베이스는 매우 길기 때문에, 긴 문맥을 놓치지 않고 읽는 능력이 곧 취약점 탐지 능력으로 이어진다는 것이다.
또한, 미토스는 실제 보안 취약점을 문제로 내고 맞히게 하는 벤치마크에서 80% 수준 성능을 보인 첫 모델이다. 이전 모델인 오퍼스(Opus) 계열이 60%대에 머물렀다면, 미토스는 그 벽을 한 번에 넘었다는 설명이다. 이 교수는 성능 발달 수준이 “점진적 개선이 아닌 세대적 도약”이라고 표현했다. 기존 업그레이드 주기와 비교하면 성능 개선 폭이 4배 이상이라는 점도 언급했다.
아울러 그는 코딩과 수학·추론 벤치마크를 함께 언급하며 “미토스가 특정 영역만 강한 모델이 아니다”라고 설명했다. 미국 수학올림피아드(USAMO) 문제에서 기존 모델과 큰 격차를 냈고, 박사들이 풀 수 있는 문제를 AI에게 묻는 GPQA 테스트에서도 거의 만점에 가까운 성능이 나왔다는 것이다. 이런 능력이 보안 분야와 결합하면, 취약점 탐지와 분석, 악용 코드 생성이 한 흐름으로 묶일 수 있다고 봤다.
취약점 찾는 수준? 아니, 실제 공격 도구도 만든다
이 교수가 특히 위험하게 본 지점은 미토스가 취약점 존재를 지적하는 수준을 넘었다는 점이다. 미토스는 수천 건의 제로데이 취약점을 찾았다. 제로데이는 아직 공개되지 않았거나 패치되지 않은 취약점이다. 그는 미토스가 OpenBSD 운영체제에서 27년 묵은 결함을 찾은 사례, FFmpeg 코덱 도구에서 오래된 버그를 찾아낸 사례를 소개했다. OpenBSD는 라우터, 방화벽, 가상사설망(VPN) 장비처럼 안정성이 중요한 영역에서 많이 쓰이는 운영체제라 파장이 더 클 수 있다고 설명했다.
파이어폭스(Firefox) 취약점 사례도 언급했다. 이 교수는 “기존 모델도 취약점이 있다고 말하는 수준은 가능했지만, 미토스는 실제 취약점을 이용해 열어내는 도구 생성까지 한다는 점이 큰 차이”라고 설명했다. 취약점이 있다는 진단에서 끝나는 것이 아니라, 공격에 바로 쓸 수 있는 형태로 연결된다는 얘기다. 취약점 심각도 분류도 사람 판단과 거의 90% 맞아, 앞으로는 분류 작업 자체도 자동화될 수 있다고 내다봤다.
영국 인공지능안전연구소(AISI)의 평가 사례도 언급됐다. 미토스는 전문가급 캡처더플래그(CTF) 문제의 73%를 풀었다. 2025년 4월까지만 해도 어떤 대규모언어모델(LLM)도 전문가급 CTF 한 문제를 풀지 못했는데, 1년 만에 상황이 급격히 바뀌었다. 32단계 기업 네트워크 공격 시뮬레이션인 ‘더 라스트 원스(The Last Ones)’에서는 10개 시나리오 중 3개를 끝까지 수행했고, 평균 22단계까지 진행했다. 비교 대상인 오퍼스 4.6은 평균 16단계, GPT-5.4는 14단계였다.
다만 그는 이 평가에도 한계가 있다고 덧붙였다. 실제 방어 체계가 없는 통제된 환경에서 공격 실험을 했기 때문에 현실보다 위협이 더 크게 보일 수 있다는 것이다. 이 교수는 “그럼에도 불구하고 독립 기관이 평가했고, 전문가급 수준으로 올라왔다는 점 자체가 중요하다”고 짚었다.
왜 제한적으로 공개했나?
이 교수는 앤트로픽이 미토스를 일반 대중에게 공개하지 않은 배경도 설명했다. 그는 미토스의 샌드박스 탈출 사례를 핵심 위험 신호로 들었다. 샌드박스는 외부와 격리한 시험 환경이다. 미토스는 이 격리 환경을 벗어나 외부와 통신했고, 인터넷 접근이 막힌 환경을 우회해 개발자에게 이메일까지 보냈다. 그는 이를 두고 “만약 이 AI를 풀어놓게 되면 사방에 다니면서 서버들을 해킹하고 다닐 수 있는 위험”이라고 말했다.
여기에 기만적 샌드배깅, 감정 벡터 같은 안전성 평가 결과도 함께 제시됐다. 샌드배깅은 AI 모델이 평가 상황임을 알아차리고 실제 성능보다 낮은 수준으로 행동하는 것을 뜻한다. 이 교수는 “이런 신호가 단순히 위험할 수 있다는 가능성이 아니라, 이미 이런 위험한 행동이 관찰됐다는 점에서 의미가 크다”고 설명했다. 미토스 공개 보류는 성능 과시보다 위험 통제가 먼저라는 판단의 결과라는 얘기다.
앤트로픽은 ‘프로젝트 글래스윙(Project Glasswing)’이라는 제한 배포 구조를 택했다. 이 교수는 이를 “미토스를 사용할 수 있는 일종의 클로즈드 그룹”이라고 설명했다. 12개 핵심 파트너와 40개 추가 참여 조직, 총 52개 조직만이 현재 미토스를 사용하고 있는 상태다.
이 교수는 이런 제한적인 공개가 국내에서는 ‘정보 비대칭’으로 작용한다고 설명했다. 그는 “신뢰할 수 있는 금융기관은 어디인가, 보안 장비는 어떤 회사를 더 믿게 될 것인가라는 산업적 질문까지 생긴다”고 말했다. 특정 글로벌 기업들이 먼저 취약점 정보를 접하고 먼저 방어에 나설 수 있다면, 거기에 속하지 못한 기업과 국가는 출발선부터 밀릴 수 있다는 것이다. 그는 “4월 7일 처음 알려졌으니 90일 후면 7월 초쯤 수천 개 취약점이 세상에 공개될 텐데, 우리는 준비가 돼 있는지 생각해봐야 할 시점”이라고 했다.
NVD 축소, 취약점 공개 속도도 단축
이 교수는 국가취약점데이터베이스(NVD) 축소도 큰 변수로 지목했다. NVD는 공개 취약점 정보를 모으고 우선순위를 정리하는 미국 표준 데이터베이스다. 그는 “국내 보안 기업들은 대체로 NVD를 중심으로 움직인다. 거기서 뭔가 나오면 패치하는 구조”라며 “이 체계가 흔들리면 한국도 즉시 독자 체계를 세우거나 위험 취약점 중심 작업 흐름으로 전환해야 한다”고 강조했다.
취약점 공개 뒤 실제 악용까지 걸리는 시간도 빠르게 줄고 있다고 했다. 이 교수는 제로데이 클락(Zero Day Clock) 자료를 인용해 2018년에는 공개 후 악용까지 평균 2.3년이 걸렸지만, 2026년에는 10시간 수준으로 짧아졌다고 설명했다. 미토스 이전에도 이미 인간 속도의 대응 체계는 흔들리고 있었고, 미토스 이후에는 이 간격이 더 줄어들 가능성이 크다고 봤다. 2026년에는 1시간, 2028년에는 1분 이내의 수준까지 짧아질 수 있다는 전망도 함께 제시됐다.
그는 구조적 변화의 본질을 “희소성과 고비용, 인간 속도, 시그니처 탐지, 연 1~2회 패치”에 기대던 과거 방식이 더는 버티기 어려워졌다는 데서 찾았다. 이제는 애플리케이션 프로그래밍 인터페이스(API) 접근과 프롬프트만 있으면 누구나 일정 수준의 취약점 탐지에 뛰어들 수 있고, 국가 캠페인에 가까운 작업을 민간 수준 비용과 시간으로 수행할 수 있는 방향으로 가고 있다는 것이다. 그 결과 방어도 시그니처 탐지보다 행위 기반 탐지로 옮겨가야 하고, 패치도 월간·분기 단위가 아니라 실시간에 가깝게 바뀌어야 한다고 봤다.

한국은 뭘 바꿔야 하나
이 교수는 한국의 구조적 취약점으로 5가지를 들었다. ▲글래스윙 프로젝트에서 빠진 점 ▲느린 패치 주기 ▲부족한 보안 인력 ▲독자 AI 기반 보안 모델 부재 ▲국내 레거시 시스템이다. 그는 “공공기관의 패치 주기가 여전히 연 1~2회 수준인 경우가 적지 않다. 너무 느리다”고 말했다. 또 “국내 은행과 공공 서비스에는 미국에서 잘 쓰지 않는 환경이 아직 남아 있어, 미국 중심 취약점 탐지 체계만 믿고 가면 사각지대가 생길 수 있다”고도 지적했다.
단기 대응으로는 긴급 패치, 자산 인벤토리 점검, 보안 모니터링 강화, 글로벌 파트너십 확보를 제시했다. 자산 인벤토리는 조직 안에 어떤 서버와 시스템이 있는지부터 정확히 파악하는 작업이다. 그는 “보안 문제가 생기는 주요 원인 중 하나는 우리 기관에 어떤 서버가 있는지도 잘 모르는 경우”라고 설명했다.
중기 대응으로는 보안관제센터(SOC)를 AI 기반으로 전환하고, 국산 보안 AI 역량을 키우며, 취약점 관리 패러다임을 바꾸자고 했다. 공통취약점평가시스템(CVSS) 점수만 보고 대응 순서를 정하던 방식은 한계가 커졌고, 실제 공격자가 어떤 경로로 들어올 수 있는지를 보는 방식으로 옮겨가야 한다는 것이다. 동시에 구멍이 난 뒤 땜질하는 대응보다, 공격이 들어오는 것 자체를 줄이는 네트워크 보안 강화가 필요하다고 했다.
장기 대응으로는 AI 시대에 맞는 법·제도 개편, 국가 AI 보안 인프라 구축, 글로벌 협력 체계가 필요하다고 했다. 영국 정부가 최근 이사회 차원의 사이버 거버넌스, 사이버 이센셜즈(Cyber Essentials) 인증 확보, 국가사이버보안센터(NCSC) 권고와 조기경보 체계 가입을 핵심 과제로 제시한 점도 참고 사례로 언급했다. 한국도 산업 육성 중심 시각을 넘어 국가 리스크 관리와 안보 차원에서 AI 보안을 다뤄야 한다는 것이다.
또한 그는 오픈AI의 코덱스(Codex)처럼 코딩에 강한 모델이 이미 많고, 하반기에는 더 큰 압박이 올 수 있다고 봤다. 대규모언어모델 개발에 널리 쓰이는 증류 기법이 확산하면, 중국을 포함한 경쟁 진영이 미토스와 비슷한 역량을 더 빠르게 따라올 수 있다는 것이다. 공개 여부와 무관하게 연말이면 미토스 성능의 80~90% 수준에 이르는 모델이 나올 수 있다는 설명이다.
끝으로 이 교수는 “미토스는 미래의 위협이 아니라 현실의 과제”라며 “방어자가 공격자보다 먼저 AI를 활용하지 못하면 비대칭은 돌이킬 수 없게 커질 수 있어, 신속한 대응이 필요하다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



