오피니언
사이언스칼럼

[사이언스칼럼] AI 시대 보안은 '무너지지 않음'이다

진승헌 ETRI 인공지능데이터보안연구실 책임연구원

승인 2026-05-21 17:20
신문게재 2026-05-22 18면

임병안 기자

진승헌 ETRI 인공지능데이터보안연구실 책임연구원

지난 4월 앤트로픽은 차세대 AI 모델 '클로드 미토스(Mythos) 프리뷰'를 발표하며 이례적인 선택을 했다. 일반에 곧장 공개하지 않고 애플·구글·마이크로소프트·JP모건체이스·리눅스재단 등이 참여하는 '프로젝트 글라스윙(Glasswing)'을 통해 주요 기술·금융·인프라 기업과 오픈소스 진영에 먼저 제공한 것이다. 공격자가 아니라 방어자에게 시간을 먼저 주겠다는 취지였다.

미토스가 주목받은 이유는 코딩 능력 때문만이 아니다. 앤트로픽 자체 평가에서 미토스는 OpenBSD의 27년 된 네트워크 결함과 FreeBSD의 17년 된 원격코드실행 취약점을 찾아냈다. 세계가 널리 써온 소프트웨어의 오랜 결함이 AI에 의해 드러난 것이다. 영국 AI보안연구소 평가도 충격적이다. 미토스는 전문가급 보안 과제에서 73%의 성공률을 기록했고, 인간 전문가도 약 20시간이 필요한 32단계 모의 기업망 공격을 10회 중 3회 완수했다. 다만 "AI가 모든 기업망을 뚫는다"는 뜻은 아니다. 평가 환경에는 실시간 대응팀도, 이상 행위 탐지·관제 도구도 없었다. 그럼에도 능동적 방어가 없는 조직은 이미 AI 자율 공격의 사정권에 들어왔다는 뜻이다. 일부 보안 연구팀은 공개·패치된 사례를 대상으로 기존 공개 모델과 오픈소스 도구를 조합해 미토스식 취약점 발견의 일부를 재현했다고 보고했다. 위협은 한 모델만의 문제가 아니다. AI가 공격자의 시간을 줄이는 순간, 보안의 핵심은 공격과 방어의 '시간 비대칭'을 줄이는 일이 된다. 공격자는 AI로 오래된 코드를 반복 시험할 수 있지만, 방어자는 패치 개발·검증·배포를 거쳐야 한다. 공격자의 시간은 줄지만, 방어자의 시간은 쉽게 줄지 않는다. 격차는 숫자로 드러났다. 한 글로벌 취약점 분석에 따르면 2025년 상반기 악용이 확인된 취약점 432건 중 32.1%는 공식 취약점 번호(CVE) 발행 전이거나 당일에 이미 악용됐다. 보안업계가 이름표를 붙이기도 전에 공격이 시작된 것이다. 데이터유출조사보고서(DBIR)도 비슷하다. VPN·방화벽 같은 외부 노출 장비의 취약점은 공개 시점에 이미 쓰인 사례가 많았지만, 조직이 고치는 데는 약 32일이 걸렸다. 공격자는 문이 열린 당일 움직이고, 방어자는 한 달이 지나서야 문을 닫는 셈이다.

미토스의 진짜 교훈은 '새로운 공격'보다 '오래된 보안 부채'다. 인간이 오래 들여 찾던 결함을 AI는 반복적으로 탐색하고 재현한다. 더 뼈아픈 사실은 앤트로픽 조차 운영 보안에서 자유롭지 않았다는 점이다. '클로드 코드' 소스 일부가 패키징 사고로 외부에 노출됐고, 미토스도 제3자 협력사를 통한 비인가 접근이 보도됐다. AI 시대의 위험은 모델 성능만의 문제가 아니다. 코드 배포, 접근권한, 협력사 관리가 흔들리면 앞선 AI 기업도 위험해진다.

대응도 달라져야 한다. 절차를 늘려 공격자를 번거롭게 만드는 '마찰 기반 보안'만으로는 부족하다. 공격이 성공할 수 있다는 전제에서 빨리 발견하고, 좁게 가두고, 신속히 회복하는 체계가 필요하다. 보안의 목표도 '완전한 차단'에서 '피해 최소화'로 넓어져야 한다. 계정 하나가 탈취돼도 핵심 시스템까지 닿지 못하게, 서버 하나가 감염돼도 전체로 번지지 않게 해야 한다.

앞으로 중요한 질문은 "침해를 당했는가"만이 아니다. "얼마나 빨리 알아차렸는가, 얼마나 좁게 가뒀는가, 얼마나 빨리 정상으로 돌아왔는가"가 더 중요하다. 백업은 랜섬웨어에도 훼손되지 않아야 하고, 사고대응 매뉴얼은 훈련으로 검증돼야 한다. 방어자도 AI를 자산 점검·이상 행위 탐지에 활용하되, 최종 결정은 인간의 거버넌스에 두어야 한다.

미토스의 메시지는 분명하다. 가장 안전한 조직은 뚫리지 않은 조직이 아니라, 뚫려도 무너지지 않는 조직이다. AI 시대의 보안은 더 높은 성벽이 아니라, 공격과 방어의 시간 비대칭을 줄이는 경쟁이다. 기본과 회복력을 갖추지 않으면, 가장 정교한 공격이 아니라 기초적인 허점에 무너질 수 있음을 잊지 말아야 할 것이다.

/진승헌 ETRI 인공지능데이터보안연구실 책임연구원

기자의 다른기사 보기

랭킹뉴스

헤드라인 뉴스

여야 대표 충청 총출동… "내란 청산" vs "독재 견제" 대충돌

더불어민주당 정청래 대표와 국민의힘 장동혁 대표가 21일 6.3 지방선거 최대 격전지 충청권을 나란히 찾아 민심 잡기에 나섰다. 충청을 잡아야 선거에서 이길 수 있다는 정치권 불문율 속 여야 선봉장들이 이날 각각 내란청산과 정권 견제 프레임을 들고 대전에서 출정식을 연 것이다. 공식선거운동 첫날부터 여야가 충청권에서 대충돌 하며 본격 세(勢) 대결에 돌입한 것인데 금강벨트에서 밀리면 안 된다는 절박감을 반영한 것으로 풀이된다. 국민의힘은 이날 오전 10시 대전역 서광장에서 '6·3 대전시민 승리 출정식'을 열었다. 출정식에는 이장우..

#삼성전자 #노사합의 #후폭풍

삼성전자 노사 성과급 합의 '후폭풍'… 주주단체 "주주이익 침해" 결집 예고

삼성전자 노사가 극적인 합의로 총파업 위기는 넘겼지만, 합의 내용이 알려지면서 후폭풍이 거세지고 있다. 지역 경영계는 반도체 호황이라는 특수성을 노동계 전반의 기준으로 일반화해서는 안 된다고 우려했다. 특히 실적이 부진한 사업부에도 성과급이 지급되는 것에 대해 비판의 목소리도 나온다. 21일 공개된 삼성전자 노사의 '2026년 성과급 노사 잠정 합의서'에 따르면 노사는 기존 초과이익성과급(OPI) 제도를 유지하되 디바이스솔루션(DS) 부문에 특별경영성과급 제도를 신설하기로 합의했다. 특별경영성과급은 노사가 합의해 선정한 사업성과의..

#지방선거 #K팝 공연장 #충청공약

대통령 관심 높은 'K팝 공연장' 충청권도 공약 쏟아져

이재명 대통령이 "국가상징 (K팝) 공연장이 필요하다"며 5만석 이상 규모 공연장의 추진을 거듭 지시한 가운데 지방선거에 나선 충청권 후보들도 관련 공약을 내놓아 주목을 끈다. 이 대통령은 20일 청와대에서 열린 국무회의 겸 비상경제점검회의에서 '취임 1주년 국정성과'를 보고 받으면서 문화체육관광부에 "K팝 공연장 확보는 어떻게 되고 있나. 대규모 공연장을 새로 지어야 할 것 아닌가"라고 주문했다. 이 대통령은 5만석 규모의 공연장이 몇개 필요하다면서 현재 2~3만석 규모로 짓고 있는 공연장에 대해 아쉬움을 드러냈다. 문체부가 공개..