“GPT·클로드로도 충분했다”…티오리가 증명한 ‘AI 해킹의 대중화’ 작성일 04-17 29 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">클로드 오퍼스 4.6·GPT-5.4로 '미토스' 성과 재현<br>특수 모델 없이도 추가 제로데이 12건 발견<br>"모델보다 취약점 선별·검증 시스템이 핵심"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="0V130SQ95F"> <figure class="figure_frm origin_fig" contents-hash="489e417372c2eeb5b8632a4deb8cf64ab370a61a9bee19f87141f450f4641c66" dmcf-pid="pft0pvx21t" dmcf-ptype="figure"> <p class="link_figure"><img alt="[서울=뉴시스] 티오리 AI 보안 솔루션 '진트 코드(Xint Code)' (사진=티오리 제공) 2026.03.23. photo@newsis.com *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/17/newsis/20260417060249652wned.jpg" data-org-width="720" dmcf-mid="tVH51I4q1p" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/17/newsis/20260417060249652wned.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] 티오리 AI 보안 솔루션 '진트 코드(Xint Code)' (사진=티오리 제공) 2026.03.23. photo@newsis.com *재판매 및 DB 금지 </figcaption> </figure> <p contents-hash="70c9fd9c96b5c4e3c159b7dd5e487d0873f3db6898317a3500905f9576d50ec0" dmcf-pid="UPp7zYd8G1" dmcf-ptype="general"><br> [서울=뉴시스]윤정민 기자 = 국내 보안기업인 티오리가 앤트로픽의 보안 특화 인공지능(AI) 모델 '미토스'가 찾아낸 핵심 보안 취약점을 범용 AI만으로 찾아낼 수 있다고 주장했다. 특정 고성능 모델에 의존하지 않더라도 체계적으로 설계된 분석 시스템을 활용하면 더 높은 수준의 취약점 탐지가 가능하다는 설명이다.</p> <p contents-hash="79df316c1ddbc676532e599c9997e67bd6fecc9c3d7cd761387b31b24cabb76c" dmcf-pid="uQUzqGJ6X5" dmcf-ptype="general">티오리는 16일 공개한 '당신은 미토스가 필요하지 않다'는 제목의 보고서를 통해 자사 AI 기반 코드 분석 도구 '진트 코드'가 미토스가 발견한 주요 취약점을 모두 탐지했다고 밝혔다.<br> </p> <figure class="figure_frm origin_fig" contents-hash="a1e586f27aad335a3668626797bb8b6f6351526e5845c978f906cdd9dff35a03" dmcf-pid="7xuqBHiP5Z" dmcf-ptype="figure"> <p class="link_figure"><img alt="[서울=뉴시스] 앤트로픽 보안 강화 이니셔티브 '프로젝트 글래스윙' (사진=앤트로픽) *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/17/newsis/20260417060249809owgi.jpg" data-org-width="720" dmcf-mid="FYNckMGht0" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/17/newsis/20260417060249809owgi.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] 앤트로픽 보안 강화 이니셔티브 '프로젝트 글래스윙' (사진=앤트로픽) *재판매 및 DB 금지 </figcaption> </figure> <p contents-hash="11d2ad0d68aca0654d4adb9922d76e56479c1afdbf95ba3fc62ed647dee30b25" dmcf-pid="zM7BbXnQYX" dmcf-ptype="general"><br> 앤트로픽은 지난 7일(현지 시간) '클로드 미토스 프리뷰'를 발표하며 이 모델이 수천 건의 제로데이(소프트웨어나 시스템의 보안 취약점 중에서 개발사나 보안 업계가 아직 인지하지 못했거나 패치가 나오지 않은 부분) 취약점을 발견했다고 말했다.</p> <p contents-hash="c843f10e83f9c29df2ee1db0c894e8a7cabdb7f1aacc05778bd0df3a3b4aa399" dmcf-pid="qRzbKZLx5H" dmcf-ptype="general">구체적으로 오픈BSD TCP SACK 구현부에서 발견된 27년 된 서비스 거부(DoS) 취약점 , FFmpeg의 H.264 코덱 내 16년 된 버그 , 프리BSD NFS 서버에서 인증 없이 관리자 권한을 획득할 수 있는 17년 된 원격 코드 실행(RCE) 결함 등이 있다.</p> <p contents-hash="640536c7d8ffac14559a52d515e01d2c1808fe01d31ee4fb2dc225dd57b84964" dmcf-pid="BeqK95oMGG" dmcf-ptype="general">앤트로픽은 현재 미토스를 '프로젝트 글래스윙'이라는 이니셔티브를 통해 아마존, 애플, 마이크로소프트, 구글 등 약 40개 기관에만 제한적으로 제공하고 있다. 이 모델이 대규모 취약점 탐지와 공격(익스플로잇) 생성 능력을 갖춘 만큼 악용 가능성을 고려해 일반 공개 대신 제한된 환경에서 먼저 검증·방어 목적으로 활용하도록 했다.</p> <p contents-hash="162034c20bddfd1abd174e5e12d775cbf3f152f6c704cb92203e1bba5cdc274a" dmcf-pid="bdB921gRYY" dmcf-ptype="general">하지만 미토스 모델을 제공받지 못한 국가나 기업들 사이에서는 보안 격차에 대한 우려가 커지고 있다. 실제로 미국 등 주요국 정부와 금융권에서는 해당 기술이 공격에 활용될 가능성을 우려하며 대응 방안을 논의하고 있는 것으로 알려졌다.</p> <p contents-hash="e8bd571c9ea368b11cf7581e8442314fa4882b4bdcdfa402c420a96b7bd4ea7d" dmcf-pid="KJb2VtaeHW" dmcf-ptype="general">국내에서도 과학기술정보통신부가 산업계, 학계와 함께 AI 기반 사이버 위협 대응 체계 점검에 나서는 등 관련 대응 논의가 본격화되고 있다.</p> <h3 contents-hash="5036a5f5304ad000246e430dbcac4529759f06d4171b225b82a36bc57f491d00" dmcf-pid="9iKVfFNdHy" dmcf-ptype="h3"><strong>"미토스 없어도 돼"…티오리, 제로데이 12건 추가 발견</strong></h3> <h3 contents-hash="26344c0805f6a7bbeb28515d71feb3647bb467e9b063401b67a9c9b9a08bbd84" dmcf-pid="2n9f43jJYT" dmcf-ptype="h3"><strong><strong>"탐지 성능 좌우하는 건 '모델' 아닌 '시스템'"</strong></strong></h3> <figure class="figure_frm origin_fig" contents-hash="2c2897cfb3c88b8cc6a6350a72ac69f388675ebe2cddb95bc566a697ea260d84" dmcf-pid="VL2480AiHv" dmcf-ptype="figure"> <p class="link_figure"><img alt="[서울=뉴시스] 티오리는 16일 공개한 '당신은 미토스가 필요하지 않다'는 제목의 보고서를 통해 자사 AI 기반 코드 분석 도구 '진트 코드'가 미토스가 발견한 주요 취약점을 모두 탐지했다고 밝혔다. 2026.04.16. (사진=티오리 제공) *재판매 및 DB 금지" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/17/newsis/20260417060249960hamt.jpg" data-org-width="720" dmcf-mid="3giog4SrG3" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/17/newsis/20260417060249960hamt.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] 티오리는 16일 공개한 '당신은 미토스가 필요하지 않다'는 제목의 보고서를 통해 자사 AI 기반 코드 분석 도구 '진트 코드'가 미토스가 발견한 주요 취약점을 모두 탐지했다고 밝혔다. 2026.04.16. (사진=티오리 제공) *재판매 및 DB 금지 </figcaption> </figure> <div contents-hash="17883c0637df2b68df1d90b67f789bf92fe981ff3a5cd5e18cc161174356d1f3" dmcf-pid="frdnLVhDHS" dmcf-ptype="general"> <strong><br><br> 티오리는 앤트로픽 '클로드 오퍼스 4.6'과 오픈AI 'GPT 5.4' 등 현재 대중적으로 사용 가능한 일반 모델을 결합해 미토스가 파악했다는 취약점을 분석했다. 그 결과 연구용 모델이나 사전 최적화 없이도 미토스가 발견한 취약점들을 모두 발견했다고 주장했다.<br><br> 티오리에 따르면 이들 취약점은 단순 코드 오류가 아니라 메모리 손상, 서비스 장애, 원격 코드 실행 등으로 이어질 수 있는 고위험 결함으로 실제 공격 시 시스템 장악까지 가능한 수준이다.<br><br> 특히 티오리는 같은 코드베이스에서 앤트로픽이 공개하지 않았거나 찾지 못한 것으로 추정되는 제로데이 취약점 12건을 새롭게 발견했다고 말했다.<br><br> 오픈BSD 네트워킹 스택(5건)과 FFmpeg 코덱 라이브러리(7건)에서 발견됐으며 이 중 11건은 고위험, 1건은 중간 등급으로 평가돼 현재 '책임 있는 공개(서비스·제품 운영자에게 먼저 제보해 패치할 시간을 준 뒤 공개하는 보안 대응 절차)' 절차가 진행 중이다.<br><br> </strong> 티오리는 "미토스가 취약점 공격 구성 능력만 놓고 보았을 때 기존 오퍼스 4.6과 미토스 사이의 성능 격차는 경이적인 수준"이라고 말했다. </div> <p contents-hash="070b370c4ad51244953663e1999b1ed52d7d6b242e652e41fa8b801a130cf627" dmcf-pid="4mJLoflwHl" dmcf-ptype="general">다만 AI 기반 보안의 핵심 경쟁력에 대해 모델 성능이 아니라 운영 시스템에 있다고 강조했다. 미토스 성과 역시 단일 모델이 아닌, 21명의 앤트로픽 보안 연구원이 공격 표면 식별과 코드 분석, 취약점 검증 등 복합적인 과정이 결합한 결과라는 것이다.</p> <p contents-hash="f08ec53dace70fdde59e2c91eb7952d98f1d20115331e14bdbe8ea64f1638376" dmcf-pid="8siog4Srth" dmcf-ptype="general">티오리는 ▲공격 표면 식별, 타깃팅 ▲심층 코드 분석 ▲착취 가능성 검증 ▲구조화된 결과 생성 등 4단계 파이프라인으로 '진트 코드'에 제품화했다고 밝혔다. 기존에는 수십 명의 보안 전문가가 수개월간 수행하던 레드팀 작업을 제품 내에 내재화해 기업이 별도의 전문 연구 조직 없이도 펜테스트(침투 테스트)급 보안 진단을 즉시 활용할 수 있다고 설명했다.</p> <p contents-hash="3fa6b444107430d219bec61907f75ca32536bdcffcd2fa8b07ad3df0b806fee8" dmcf-pid="6Onga8vmZC" dmcf-ptype="general">또 진트 코드는 '모델 불가지론적' 설계를 채택해 향후 미토스급 모델이 일반에 공개되거나 더 뛰어난 성능의 새로운 AI 모델이 등장할 경우 기존 설정을 변경하지 않고도 이를 즉시 시스템에 적용해 탐지 성능을 향상시킬 수 있다고 덧붙였다.</p> <p contents-hash="14727d377affa59ceaf1407aab4ca8a0d10e2d75906eb6addfc5064aacbb9a3b" dmcf-pid="PILaN6TsHI" dmcf-ptype="general">티오리 측은 "앤트로픽 '미토스'가 제로데이를 찾는 능력으로 많은 주목을 받고 있지만 진짜 어려운 문제는 거대언어모델(LLM)이 버그를 인식하느냐가 아니다"라며 "900만줄의 코드베이스에서 조사할 적절한 코드를 찾고 모델이 내뱉는 수백 가지 이론적 약점 중 진짜 취약점을 구분해 개발자가 즉시 조치할 수 있는 결과물을 내놓는 시스템을 갖추는 것이 핵심"이라고 밝혔다.</p> <p contents-hash="bb985973b2e6feb2f4537876a9918c26962f204f44b071ea36295be093612e53" dmcf-pid="QCoNjPyOtO" dmcf-ptype="general"><a href="https://www.newsis.com/?ref=chul" target="_blank">☞공감언론 뉴시스</a> alpaca@newsis.com </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 "넓게, 더 넓게"…삼성, 2번 접는 트라이폴드에도 '와이드' 입힐까 04-17 다음 '미토스 쇼크'에 오픈AI 맞불…AI 패권 경쟁, 이제는 '보안' 04-17 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
