"미토스 걱정하다 골든타임 놓친다…핵심은 AI 성능 아닌 대응 시스템" 작성일 04-16 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="UyGNGKOcCR"> <figure class="figure_frm origin_fig" contents-hash="80c8f01222a5dc30aaba629dd0e92bcaba3965a087d38cb9a285ebb893b5d4b1" dmcf-pid="uWHjH9IkTM" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416173034420lyps.jpg" data-org-width="640" dmcf-mid="by2W2g0HCS" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416173034420lyps.jpg" width="658"></p> </figure> <p contents-hash="173b55674b5974313bcbebb9cd76800f47dd686e025b55b96fd3706096ad1a95" dmcf-pid="7YXAX2CESx" dmcf-ptype="general">[디지털데일리 김보민기자] 앤트로픽 인공지능(AI) 모델 미토스가 해킹에 악용될 수 있다는 우려가 커진 가운데 사태 본질을 이해해야 한다는 의견이 나왔다. 미토스 등장 전부터 AI가 보안 취약점을 탐지하는 도구로 활용돼온 만큼, 대형언어모델(LLM) 성능을 논하기보다 대응 시스템을 구축하는 것이 중요해졌다는 취지다.</p> <p contents-hash="37db20ea58d8093473ff6a4f69033f65005bc72ce093bcefc532db888f710370" dmcf-pid="zGZcZVhDhQ" dmcf-ptype="general">오펜시브 사이버보안 전문기업 티오리는 16일 '미토스보다 필요한 것은 시스템(You Don’t Need Mythos, You Need a System)'이라는 제목의 백서를 발간했다. 티오리는 구글, 마이크로소프트(MS), 옥타, 삼성전자 등 국내외 기업 및 기관에 보안 컨설팅을 제공하는 대표적인 오펜시브 보안 기업이다.</p> <p contents-hash="2c7d9375ebf94c9d0ddb147641dfecb85a42d1e8a0f3d7ffc9254bd63ff1eedc" dmcf-pid="qH5k5flwvP" dmcf-ptype="general">이번 백서는 미토스를 악용한 해킹이 등장할 수 있다는 우려가 퍼진 것을 계기로 발간됐다. 앤트로픽은 최근 '클로드 미토스 프리뷰'를 공개하며 해당 모델이 기존에 발견되지 않았던 제로데이 취약점을 전례 없는 속도와 규모로 찾아낼 수 있다고 밝혔다. 사이버보안 전용으로 훈련되지 않았지만 소프트웨어(SW) 취약점 등을 탐지하는 데 능한 것으로 알려졌다.</p> <p contents-hash="ecb7a5594b335a058cb0c3d6347ce67ac7a2145483a946a5e30da2202eb5551e" dmcf-pid="BX1E14SrW6" dmcf-ptype="general">티오리는 이번 미토스 사태로 AI가 실제 제로데이 취약점을 찾아낼 수 있는가에 대한 논쟁이 끝났다고 평가했다. 티오리는 백서를 통해 "앤트로픽이 클로드 미토스 프리뷰와 프로젝트 글래스윙을 발표하며 단일 AI 모델이 주요 운영체제와 웹브라우저 전반에 걸쳐 수천개 제로데이 취약점을 자율적으로 발견했다고 밝혔다"며 "AI는 실제 운영 소프트웨어에서 악용 가능한 취약점을 찾아낼 수 있고 여기에는 수십년간 전문가 검토와 수백만건 자동화 보안 테스트를 거친 후에도 남아있던 버그까지 포함된다"고 말했다.</p> <p contents-hash="7b04576285c5ed97df1d7cfebd6d3ddb6d469defb61287823a9f2072ca9207dc" dmcf-pid="bLabavx2y8" dmcf-ptype="general">보안 담당자에가 유념할 시사점도 있다고 강조했다. 티오리는 "AI 기반 취약점 탐지에서 핵심 변수는 모델 자체가 아니다"라며 "어디를 살펴볼지 결정하고, 발견된 결과가 실제 악용 가능한지 검증한 뒤 오탐을 제거하고, 실행 가능한 대응 방안을 제공하는 '구조화된 시스템'이 핵심"이라고 설명했다.</p> <p contents-hash="caa9560680012d40425643f3b713d79db640a0e7ff01c476f477a9268168de35" dmcf-pid="KoNKNTMVW4" dmcf-ptype="general">티오리는 앤트로픽이 "이를 암묵적으로 입증했다"고도 평가했다. 이어 "(앤트로픽의) 프론티어 레드팀은 대상 선정, 스캐닝 전략 설계, 전문 인력 검증, 수천건 결과에 대한 공개 관리까지 수행했다"고 덧붙였다.</p> <p contents-hash="ed56d1b79bf46ffbd38587b1479aca746c59e782956a4f585b9de034bfec1984" dmcf-pid="9gj9jyRfSf" dmcf-ptype="general">티오리는 미토스에 견줄 만한 AI 또한 현행 보안 도구 또한 존재한다고 강조했다. 그 일환으로 LLM 네이티브로 구동되는 정적 애플리케이션 보안점검(SAST) 도구 '진트 코드'를 언급했다. 티오리에 따르면 진트 코드를 동일 계열 코드베이스에 적용한 결과 미토스가 공개한 대표 취약점을 재현한 데 이어 오픈BSD(OpenBSD) 네트워킹 스택, FFmpeg 코덱 라이브러리 등 총 12건 추가 취약점이 발견됐다.</p> <div contents-hash="5bdd994e330b0900bdff1752f0ed68fa5a59d43cd48a5459aac6f9fabed61006" dmcf-pid="2aA2AWe4hV" dmcf-ptype="general"> 다만 이번 결과를 해석 할 때 전제 조건도 함께 고려해야 한다는 지적도 나온다. 진트는 전체 코드베이스를 전수 분석한 것이 아닌 앤트로픽이 대표 취약점을 발견했다고 밝힌 특정 서브시스템을 중심으로 범위를 한정해 스캔을 진행했다. 이에 대해 티오리는 실제 보안팀이 '알려진 공격 표면'을 중심으로 점검하는 방식과 유사하다며 앤트로픽 접근과도 맥을 같이 한다고 설명했다. AI 성능을 넘어 '무엇을 어디까지 보게 하느냐가 결과를 좌우한다'는 의미다. </div> <figure class="figure_frm origin_fig" contents-hash="4f12399dcd24b18082f93dd390be4d3c1a9f7bc5685974b8e39cd58b8214f7c8" dmcf-pid="VNcVcYd8T2" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416173035732ejxg.jpg" data-org-width="640" dmcf-mid="pt0m0QWIve" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/16/552796-pzfp7fF/20260416173035732ejxg.jpg" width="658"></p> </figure> <p contents-hash="86fa53911f38bd2a3b0b9e69c5dc9cb737511f44e8266821be728f14b11bb01c" dmcf-pid="fjkfkGJ6v9" dmcf-ptype="general">박세준 티오리 대표는 이날 페이스북 게시글을 통해 "앤트로픽 미토스의 제로데이 발견 능력이 주목을 받고 있고 충분히 그럴 만하다고 생각한다"면서도 "핵심은 수십만, 수백만 줄 규모의 코드베이스에서 어디를 봐야할지 스스로 찾아내고 그 과정에서 실제 파급력 높은 취약점을 구별해 보안 담당자가 바로 조치할 수 있는 시스템을 만드는 데 있다"고 밝혔다.</p> <p contents-hash="b8e056e57d33d38c343ed77745d2bb5fd04ba43718b52600ebbc0383ea9a6b37" dmcf-pid="4AE4EHiPWK" dmcf-ptype="general">그러면서 "(적어도 공개된) 그 능력을 상회하는 기술은 이미 도달했다"며 "그 기술을 선제적이고 적극적으로 활용해 아포칼립스가 발현되기 전 생태계를 지킬 것인지, 당장 쓰지도 못하는 미토스가 어떤 영향을 끼칠지 전전긍긍하며 토론만 하다가 골든타임을 놓칠 것인지는 선택과 결단의 문제"라고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 KT, 이르면 다음주 '토탈영업' 인력 재배치 마무리…'깜깜이' 작업 우려도 04-16 다음 AI 이어 양자컴 선점 나선 젠슨 황 04-16 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
