과기정통부, 앤트로픽과 AI 보안 협력 논의
과학기술정보통신부(이하 과기정통부)는 외교부·국가정보원·금융위원회·인공지능안전연구소(AISI)·한국인터넷진흥원(KISA)·금융보안원과 함께 미국 인공지능(AI) 기업 앤트로픽과 AI·사이버보안 분야 협력 방안을 논의하는 간담회를 11일 열었다고 밝혔다.
과학기술정보통신부(이하 과기정통부)는 외교부·국가정보원·금융위원회·인공지능안전연구소(AISI)·한국인터넷진흥원(KISA)·금융보안원과 함께 미국 인공지능(AI) 기업 앤트로픽과 AI·사이버보안 분야 협력 방안을 논의하는 간담회를 11일 열었다고 밝혔다.
박관순 티오리 CISO는 미토스 논란을 오펜시브 보안 현장의 관점에서 짚었다. 오펜시브 보안은 공격자의 방식으로 시스템을 점검하고 취약점을 검증하는 보안 영역이다. 박 CISO는 미토스를 단순히 ‘강한 AI 모델’로만 보면 안 된다고 했다. 그는 “취약점을 찾는 모델도 중요하지만, 어떤 코드를 볼지 정하고, 결과가 실제 공격 가능한 취약점인지 검증하고, 오탐을 걸러내는 운영 체계가 함께 있어야 한다”고 강조했다.
이상근 고려대 교수는 같은 문제를 더 넓은 국가안보와 거버넌스 관점에서 봤다. 그는 미토스를 단순히 취약점을 잘 찾는 AI 모델로 보지 않았다. 코딩을 잘하는 AI가 보안을 잘하게 되고, 그 능력이 취약점 탐지와 공격 도구 생성, 심각도 분류, 패치 자동화로 이어지면 사이버보안 자체가 전략 자산이 된다는 설명이다. 이 교수는 “미토스는 코딩, 추론, 장문맥, 사이버보안 능력이 결합된 모델”이라며 “코딩을 잘하는 AI를 선점하는 것이 곧 사이버 역량을 선점하는 일이 될 수 있다”고 말했다.
티오리(Theori)는 자사 인공지능(AI) 기반 코드 분석 솔루션 ‘진트 코드(Xint Code)’가 앤트로픽(Anthropic)의 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’가 공개한 주요 취약점 4건을 재현하고, 같은 코드베이스에서 제로데이 취약점 12건을 추가 탐지했다고 28일 밝혔다.
바이라인 주간 프리미엄 트렌드 리포트 458호가 발간됐습니다. 이번 호 딥다이브에서는 ‘괴물급 AI ‘미토스’, 보안의 판을 뒤집는다’를 다뤘습니다.
앤트로픽이 새로운 AI 모델 ‘클로드 미토스 프리뷰’를 공개한 이후, AI 기반 사이버 위협에 대한 우려가 점점 커지고 있다. 이상근 고려대학교 정보보호대학원 스마트보안학부 교수(AI보안연구소장)는 23일 서울 여의도 FKI타워 컨퍼런스센터에서 열린 ‘프론티어 AI 미토스 공개 보류 사태와 국가 및 기업 사이버 위기 대응 전략 긴급좌담회’에서 “미토스는 사이버보안 자체의 무기화 순간”이라고 진단했다.
PwC컨설팅과 유동수 더불어민주당 의원은 23일 서울 여의도 FKI타워 컨퍼런스센터에서 ‘프론티어 AI 미토스 공개 보류 사태와 국가·기업 사이버 위기 대응 전략’ 긴급 좌담회를 열고, 프론티어 AI 확산이 국가 안보와 산업, 사회에 미칠 영향과 대응 방안을 논의했다. 좌담회에는 학계와 정·관계, 산업계 관계자 100여명이 참석했다.
앤트로픽의 인공지능(AI) 모델 ‘미토스’를 계기로 AI가 사이버보안에 미칠 영향에 대한 논의가 커지고 있다. 핵심은 AI가 취약점을 찾고 공격 경로를 설계하는 능력을 어디까지 갖췄는지, 그리고 이를 방어 체계가 따라갈 수 있는지다. 바이라인네트워크는 ‘전문가가 본 미토스’ 시리즈를 통해 AI 보안 위협의 실체와 국내 대응 방향을 전문가별로 짚어본다. 첫 번째로 시스템 보안과 소프트웨어 보안을 연구해온 윤인수 카이스트 교수의 견해를 들어봤다.
AI 에이전트의 보안 위협은 이미 메일함, 내부 문서, 코드 저장소, 플러그인 생태계에서 구체적인 사례로 드러나고 있다. 시장은 아직 초기 단계지만, 사고와 연구 사례는 이미 나오기 시작했다. 공통점은 분명하다. 에이전트가 읽는 입력이 명령으로 바뀌고, 에이전트가 가진 권한이 곧 사고의 범위를 결정한다는 점이다. 최근 공개된 사례만 봐도 승인 없는 메일 삭제, 기밀 메일 요약, 개발 도구를 통한 원격 코드 실행, 플러그인 생태계의 자격증명 노출 문제가 잇따랐다.
인공지능(AI) 보안의 초점이 바뀌고 있다. 기존 생성형 AI 보안은 주로 모델에 어떤 프롬프트가 들어가고, 모델이 어떤 답변을 내놓는지에 맞춰져 있었다. 공격자가 악성 지시를 넣어 안전장치를 우회하는지, 모델이 유해한 답변이나 잘못된 정보를 생성하는지, 민감한 데이터를 답변으로 흘리는지가 핵심 쟁점이었다. 하지만 AI 에이전트가 등장하면서 문제의 성격이 달라졌다. 이제 AI는 단순히 답변을 내놓는 데 그치지 않는다. 웹을 탐색하고, 문서를 읽고, 외부 도구를 호출하고, 사용자를 대신해 작업을 수행한다. 답변이 잘못되는 수준을 넘어, 잘못된 판단이 실제 행동으로 이어질 수 있는 구조가 된 것이다.
한때 취약점 스캐너의 등장은 보안의 판도를 바꾼 사건이었다. 공격자만이 활용하던 도구가 방어자에게 넘어오면서, 보안은 경험과 직관의 영역에서 데이터와 프로세스 기반의 관리 체계로 전환됐다. 그러나 최근 인공지능(AI)이 취약점 발굴을 넘어 익스플로잇 생성까지 수행하기 시작하면서, 보안은 또 한 번의 구조적 전환점에 직면하고 있다. 이번 변화는 단순한 기술 발전이 아니다. 보안의 전제 자체를 바꾸고 있다.
금융보안원은 금융회사 임직원을 대상으로 ‘인공지능(AI) 보안 전문인력 양성과정’을 개설하고 금융권 AI 보안 인력 양성 지원에 나선다고 17일 밝혔다. 최근 미토스 등 인공지능(AI)을 활용한 해킹과 AI 대상 공격 위협이 커지는 가운데, 금융권 현장에서 바로 활용할 수 있는 실무형 인력을 키우겠다는 취지다.
“앤트로픽의 미토스가 시사하듯, 인공지능(AI)은 단순한 도구가 아니라 자율적인 행위 주체가 됐다. AI에 대한 신뢰성과 보안성이 어느 때보다 중요하다.”
앤트로픽이 지난 7일 새로운 AI 모델 ‘클로드 미토스 프리뷰(Claude Mythos Preview)’의 일반 공개를 보류하고 제한된 파트너에게만 제공한 뒤, 단순한 AI 신기술 발표를 넘어 금융권과 정부의 대응 사안으로 번지고 있다.
과학기술정보통신부는 15일 국내 정보보호기업과 주요 기업 정보보호최고책임자(CISO)를 잇달아 만나, 글로벌 인공지능(AI) 기업들의 최신 사이버보안 프로젝트가 국내 산업에 미칠 영향과 대응 방향을 논의했다고 밝혔다.
End of content
End of content