[사이언스칼럼] AI 시대 보안은 '무너지지 않음'이다

  • 오피니언
  • 사이언스칼럼

[사이언스칼럼] AI 시대 보안은 '무너지지 않음'이다

진승헌 ETRI 인공지능데이터보안연구실 책임연구원

  • 승인 2026-05-21 17:20
  • 신문게재 2026-05-22 18면
  • 임병안 기자임병안 기자
진승헌 책임연구원
진승헌 ETRI 인공지능데이터보안연구실 책임연구원
지난 4월 앤트로픽은 차세대 AI 모델 '클로드 미토스(Mythos) 프리뷰'를 발표하며 이례적인 선택을 했다. 일반에 곧장 공개하지 않고 애플·구글·마이크로소프트·JP모건체이스·리눅스재단 등이 참여하는 '프로젝트 글라스윙(Glasswing)'을 통해 주요 기술·금융·인프라 기업과 오픈소스 진영에 먼저 제공한 것이다. 공격자가 아니라 방어자에게 시간을 먼저 주겠다는 취지였다.

미토스가 주목받은 이유는 코딩 능력 때문만이 아니다. 앤트로픽 자체 평가에서 미토스는 OpenBSD의 27년 된 네트워크 결함과 FreeBSD의 17년 된 원격코드실행 취약점을 찾아냈다. 세계가 널리 써온 소프트웨어의 오랜 결함이 AI에 의해 드러난 것이다. 영국 AI보안연구소 평가도 충격적이다. 미토스는 전문가급 보안 과제에서 73%의 성공률을 기록했고, 인간 전문가도 약 20시간이 필요한 32단계 모의 기업망 공격을 10회 중 3회 완수했다. 다만 "AI가 모든 기업망을 뚫는다"는 뜻은 아니다. 평가 환경에는 실시간 대응팀도, 이상 행위 탐지·관제 도구도 없었다. 그럼에도 능동적 방어가 없는 조직은 이미 AI 자율 공격의 사정권에 들어왔다는 뜻이다. 일부 보안 연구팀은 공개·패치된 사례를 대상으로 기존 공개 모델과 오픈소스 도구를 조합해 미토스식 취약점 발견의 일부를 재현했다고 보고했다. 위협은 한 모델만의 문제가 아니다. AI가 공격자의 시간을 줄이는 순간, 보안의 핵심은 공격과 방어의 '시간 비대칭'을 줄이는 일이 된다. 공격자는 AI로 오래된 코드를 반복 시험할 수 있지만, 방어자는 패치 개발·검증·배포를 거쳐야 한다. 공격자의 시간은 줄지만, 방어자의 시간은 쉽게 줄지 않는다. 격차는 숫자로 드러났다. 한 글로벌 취약점 분석에 따르면 2025년 상반기 악용이 확인된 취약점 432건 중 32.1%는 공식 취약점 번호(CVE) 발행 전이거나 당일에 이미 악용됐다. 보안업계가 이름표를 붙이기도 전에 공격이 시작된 것이다. 데이터유출조사보고서(DBIR)도 비슷하다. VPN·방화벽 같은 외부 노출 장비의 취약점은 공개 시점에 이미 쓰인 사례가 많았지만, 조직이 고치는 데는 약 32일이 걸렸다. 공격자는 문이 열린 당일 움직이고, 방어자는 한 달이 지나서야 문을 닫는 셈이다.

미토스의 진짜 교훈은 '새로운 공격'보다 '오래된 보안 부채'다. 인간이 오래 들여 찾던 결함을 AI는 반복적으로 탐색하고 재현한다. 더 뼈아픈 사실은 앤트로픽 조차 운영 보안에서 자유롭지 않았다는 점이다. '클로드 코드' 소스 일부가 패키징 사고로 외부에 노출됐고, 미토스도 제3자 협력사를 통한 비인가 접근이 보도됐다. AI 시대의 위험은 모델 성능만의 문제가 아니다. 코드 배포, 접근권한, 협력사 관리가 흔들리면 앞선 AI 기업도 위험해진다.

대응도 달라져야 한다. 절차를 늘려 공격자를 번거롭게 만드는 '마찰 기반 보안'만으로는 부족하다. 공격이 성공할 수 있다는 전제에서 빨리 발견하고, 좁게 가두고, 신속히 회복하는 체계가 필요하다. 보안의 목표도 '완전한 차단'에서 '피해 최소화'로 넓어져야 한다. 계정 하나가 탈취돼도 핵심 시스템까지 닿지 못하게, 서버 하나가 감염돼도 전체로 번지지 않게 해야 한다.

앞으로 중요한 질문은 "침해를 당했는가"만이 아니다. "얼마나 빨리 알아차렸는가, 얼마나 좁게 가뒀는가, 얼마나 빨리 정상으로 돌아왔는가"가 더 중요하다. 백업은 랜섬웨어에도 훼손되지 않아야 하고, 사고대응 매뉴얼은 훈련으로 검증돼야 한다. 방어자도 AI를 자산 점검·이상 행위 탐지에 활용하되, 최종 결정은 인간의 거버넌스에 두어야 한다.

미토스의 메시지는 분명하다. 가장 안전한 조직은 뚫리지 않은 조직이 아니라, 뚫려도 무너지지 않는 조직이다. AI 시대의 보안은 더 높은 성벽이 아니라, 공격과 방어의 시간 비대칭을 줄이는 경쟁이다. 기본과 회복력을 갖추지 않으면, 가장 정교한 공격이 아니라 기초적인 허점에 무너질 수 있음을 잊지 말아야 할 것이다.

/진승헌 ETRI 인공지능데이터보안연구실 책임연구원

중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지

기자의 다른기사 보기

랭킹뉴스

  1. 아산시 온양6동 온주마을, 국토부 '우리동네 살리기 프로젝트' 선정
  2. 지역 안전문화 확립 업무협약 체결
  3. 아산신협, 장학금 400만원 쾌척
  4. 아산시, 교육 지원체계 전면 개편
  5. 순천향대천안병원 이한유 센터장, 엘살바도르 산모·신생아 응급의료 역량 강화 지원
  1. 천안시복지재단, 천안ESG거버넌스협의체와 환경정화 캠페인 나서
  2. 천안시, 일본뇌염 '예방접종·예방수칙' 준수 당부
  3. 천안시, 일본 도쿄 기계요소기술전 참관…관내 중소기업 탐방단 파견
  4. 충남교육청평생교육원, 독서전문가과정 수강생 '전원 자격증 취득' 쾌거
  5. 천안시, 1인 자영업자 고용보험료 지원 신청 당부

헤드라인 뉴스


[르포] "지하 파고, 흙더미 쌓인 트램 공사장"… 폭우 앞둔 대전 도심

[르포] "지하 파고, 흙더미 쌓인 트램 공사장"… 폭우 앞둔 대전 도심

7월 3일 금요일 오후 5시 50분, 퇴근 시간이 한창인 대전 중구 오류동 인근. 왕복 도로는 트램 12공구(유천동 버드내아파트~문창동 보문교) 공사로 차로 폭이 줄어든 상태였다. 여기에 퇴근 차량까지 몰리면서 긴 정체가 이어졌다. 신호가 바뀌어도 차량들은 좀처럼 앞으로 나아가지 못했고 도로 위에는 경적소리가 끊이지 않았다. 인도에는 '버스정류장 이용 불가. 100m 앞 임시정류장을 이용해 달라'는 안내판이 세워졌다. 공사장 외곽은 건설사 이름이 적힌 대형 가림막으로 둘러싸였고 가림막 사이로 들여다본 공사장 내부에는 깊게 파인 굴착..

대전지역 주유소 판매가격 `로켓과 깃털 효과` 확인
대전지역 주유소 판매가격 '로켓과 깃털 효과' 확인

대전지역 주유소들이 판매가격이 오를 때에는 빠르게 반영하고, 내릴 땐 더딘 이른바 '로켓과 깃털 효과'가 확인돼 소비자들의 불만 이 커지고 있다. 중동전쟁 발발 직후 휘발유와 경유 가격이 1주일 사이 리터당 각각 241원, 354원 급등한 반면, 정부가 석유제품 최고가격을 인하 조정한 이후 하락 폭은 100원 수준에 그쳤기 때문이다. 다만, 전국 평균보다는 빠르게 인하된 것으로 나타났다. 5일 한국석유공사 유가정보시스템 오피넷에 따르면, 대전지역 휘발유 평균 판매가격은 중동전쟁이 발생한 2월 28일 리터당 1677.81원에서 1주일..

충청권 목돈 저축성예금에 쏠렸다... 투자보단 안전자산에 집중
충청권 목돈 저축성예금에 쏠렸다... 투자보단 안전자산에 집중

주식 시장의 널뛰기가 계속되고 은행 예금 매력도가 높아지자 충청권 금융시장 자금 흐름이 저축성예금으로 모이고 있다. 언제든 통장에 넣고 뺄 수 있는 요구불예금은 감소하고, 예·적금 등 비교적 안전한 금융상품에 가입한 지역민들이 많아진 것인데, 불안한 시장 상황에 안전한 이자수익을 노리는 이들이 많아졌기 때문으로 해석된다. 5일 한국은행 대전세종충남본부의 '2026년 4월 중 대전·세종·충남 금융기관 여수신 동향'에 따르면 대전·세종·충남 시중은행 요구불 예금은 1847억원 줄고, 저축성예금은 6978억원 증가한 것으로 집계됐다. 지..

실시간 뉴스

지난 기획시리즈

  • 정치

  • 경제

  • 사회

  • 문화

  • 오피니언

  • 사람들

  • 기획연재

포토뉴스

  • 장맛비 내리는 대전 장맛비 내리는 대전

  • 가족사랑 금요장터서 농산물 구입 가족사랑 금요장터서 농산물 구입

  • 이재명 대통령, 충청권 첨단산업 발전비전 국민보고회 참석 이재명 대통령, 충청권 첨단산업 발전비전 국민보고회 참석

  • ‘개문냉방 안돼요’ ‘개문냉방 안돼요’