경제타임스 김재억 기자 |  인공지능(AI)이 스스로 소프트웨어의 보안 취약점을 탐지하고 복합 공격을 수행하는 시대가 도래했다. 단순한 기술적 진보를 넘어 기존 보안 체계의 근간을 흔드는 강력한 AI 모델의 등장에 전 세계 금융권과 정부 기관이 긴급 대응 체제에 돌입했다.

■ 베일 벗은 ‘미토스’, 27년간 발견 못한 취약점 단숨에 파악

유안타증권 권명준 연구원은 4월16일 발행한 섹터 리포트를 통해 엔트로픽(Anthropic)이 개발한 최신 AI 모델 ‘미토스(Mythos)’의 위험성과 이에 따른 보안 시장의 변화를 심층 분석했다. 미토스는 현존하는 AI 모델 중 가장 강력한 성능을 자부하며, 박사급 난이도의 문제를 모은 ‘인류의 마지막 시험’ 벤치마크에서 역대 최고 정답률을 기록했다.

미토스의 진가는 실전 취약점 발견 능력에서 드러났다. 보고서에 따르면 미토스는 유닉스(UNIX) 계열 중 가장 강력한 보안을 자랑하는 ‘오픈BSD(OpenBSD)’에서 무려 27년 동안 인간이 발견하지 못한 방화벽 운용 취약점을 찾아냈다. 또한 16년 된 영상 소프트웨어 FFmpeg의 결함을 발견하고, 다수의 리눅스 코드를 조합해 서버 전체를 장악할 수 있는 고도의 공격 시나리오까지 스스로 구축했다.

영국 AI 안전연구소(AISI)의 최근 평가 결과는 더욱 충격적이다. 미토스 프리뷰 모델은 기업망 공격 시나리오를 처음부터 끝까지 자율적으로 수행하는 데 성공했으며, 외부 침입부터 내부 이동, 권한 상승, 데이터 탈취까지 이어지는 복합 공격을 인간의 개입 없이 완수했다. 이에 엔트로픽 측은 해커나 범죄 집단에 의한 악용 우려로 미토스를 일반에 공개하지 않겠다는 입장을 공식화했다.

■ 금융권 ‘비상’… 미 백악관부터 한국 금감원까지 긴급 대응

미토스가 불러온 ‘사이버 보안 우려감’은 정책 당국의 즉각적인 행동으로 이어졌다. 미국 금융 당국은 주요 금융사 CEO들을 소집해 긴급 보안 점검회의를 진행했으며, 백악관 국가사이버국장은 주요 부처와 민관 기업을 모아 국가 핵심 인프라의 보안 강화 작업에 착수했다. 미 정부는 지난 12일, JP모건체이스를 파트너사로 지정해 미토스 모델을 시범 적용하고 시스템 취약점을 선제적으로 점검하도록 권고했다.

국내 상황도 긴박하다. 지난 3월 금융보안통합관제시스템(FIRST)에 접수된 보안 위협 횟수는 전월 대비 2.5배 급증했다. 이에 금융감독원은 지난 13일 금융사들을 긴급 소집해 미토스 대응 방안을 논의했다. 이 자리에서 국내 금융 기업들은 EDR(단말기 보안) 구축, 제로트러스트(Zero Trust) 체계 마련, ‘레드티밍(Red Teaming)’ 운영 및 공격표면관리(ASM) 강화 계획을 공유했다.

과학기술정보통신부 역시 지난 14일 네이버, 카카오, 쿠팡 등 주요 플랫폼사의 정보보호 최고책임자(CISO)를 소집해 긴급 현안 점검회의를 가졌으며, AI를 활용한 특이 공격 발생 시 한국인터넷진흥원(KISA)과 즉각 상황을 공유할 것을 당부했다.

■ ‘창과 방패’의 전쟁… 지니언스·라온시큐어 등 수혜 기대

AI 기술이 공격의 도구로 진화함에 따라, 이를 막아낼 보안 전문 AI 모델 경쟁도 치열해지고 있다. 오픈AI는 미토스 공개 직후 보안 취약점 탐지에 특화된 ‘Trusted Access for Cyber’ 프로젝트 기반의 새 모델을 일부 기업에 제공하기 시작했다.

유안타증권은 이처럼 급변하는 보안 환경 속에서 기술적 우위를 가진 국내 기업들에 주목했다. 특히 국내 EDR 시장 1위 기업인 지니언스(263860)와 모의해킹 및 통합 인증 솔루션 전문 기업인 라온시큐어(042510)가 핵심 수혜주로 거론된다. 지니언스는 지난 15일 한국정보보호산업협회(KISIA) 주관으로 열린 AI 보안 관련 비공개 긴급 회의에도 참석해 대응 방안을 논의한 것으로 알려졌다.

권명준 연구원은 “기존의 이메일이나 수작업에 의존하던 보안 전파 방식으로는 초고속으로 진화하는 AI 공격을 막기에 역부족”이라며, “상시 수집되는 위협 정보를 데이터베이스화해 실시간 대응하는 FIRST 시스템과 같은 체계적인 관리와 함께 기업들의 공격표면관리(ASM) 능력이 향후 생존의 열쇠가 될 것”이라고 제언했다.