보안판 흔드는 ‘미토스’… 진짜 문제는 폐쇄형 연합 ‘글래스윙’ [미토스 그 후①] 작성일 04-17 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">취약점 대응 시간 개념 무너져 <br>협력체계 가동에 한국은 소외</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="t3gMRqrNeY"> <p contents-hash="045de0687615f8e6e40cc089b0036a9882abcfa52ad977904eb8b6c9f109fcca" dmcf-pid="FGRVfFNdLW" dmcf-ptype="general">앤트로픽의 미공개 AI 모델 '클로드 미토스(Claude Mythos, 이하 미토스)'가 주요 운영체제와 웹브라우저에서 수천 건의 제로데이 취약점을 자율적으로 찾아냈다는 사실이 알려지면서, AI가 사이버 보안을 뒤흔들 것이라는 우려가 커지고 있다.</p> <p contents-hash="48e1aafbbc071201fda5695d8837a9ae5799e3e18261d77de229e3416207466b" dmcf-pid="3Hef43jJdy" dmcf-ptype="general">하지만 이는 이미 지난해부터 이어진 AI 기반 사이버 위협에 대한 경고가 정확도를 급격히 높이며 생각보다 빠르게 현실화된 것에 불과하다. 진짜 주목해야 할 포인트는 따로 있다. 바로 앤트로픽이 미토스를 바탕으로 출범시킨 폐쇄형 보안 협력체계 '프로젝트 글래스윙(Project Glasswing)'이다.</p> <div contents-hash="de5ffc616f33d080930074011562ddc2b43b3b2d2eba2fe204b860e882258c5d" dmcf-pid="0Xd480AiMT" dmcf-ptype="general"> 미토스가 취약점 발견의 속도와 양을 바꾼다면, 글래스윙은 누가 그 정보를 먼저 받아보고 선제 대응할 수 있는지를 결정하는 차원의 문제라 할 수 있다. 보안 업계는 글래스윙이 전세계 사이버 공격 대응의 판도에 큰 영향을 줄 수 있다고 경고한다. </div> <figure class="figure_frm origin_fig" contents-hash="a56d83132e0349216c7e60155284d134d6f49308b7f50827133b2eb0d63f4174" data-idxno="441088" data-type="photo" dmcf-pid="pZJ86pcniv" dmcf-ptype="figure"> <p class="link_figure"><img alt="앤트로픽은 '클로드 미토스'를 공개하지 않고, '프로젝트 글래스윙'을 통해 일부 기업·조직에게 프리뷰 접근권을 부여한다고 발표했다. / 앤트로픽 홈페이지 갈무리" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/17/552810-SDi8XcZ/20260417060029743gsoy.jpg" data-org-width="1280" dmcf-mid="5KVu7We4nH" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/17/552810-SDi8XcZ/20260417060029743gsoy.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 앤트로픽은 '클로드 미토스'를 공개하지 않고, '프로젝트 글래스윙'을 통해 일부 기업·조직에게 프리뷰 접근권을 부여한다고 발표했다. / 앤트로픽 홈페이지 갈무리 </figcaption> </figure> <p contents-hash="633c4fc786e74eca76328055d5cd193bef4fa3ff1c97487e272f28d112a7defb" dmcf-pid="U5i6PUkLRS" dmcf-ptype="general"><strong>공개 보류된 사이버 공격 '능력자' AI…일단 방어 목적으로만 쓴다</strong></p> <p contents-hash="32fe21f9418d591b67f4833240b547711261d6ccdbf0979e787dddf66ee6f383" dmcf-pid="u1nPQuEodl" dmcf-ptype="general">지금까지 취약점 대응은 '발견 → 패치 → 방어'라는 순서를 전제로 돌아갔다. 해커나 보안 연구자 같은 '사람'이 취약점을 찾아내고, 공급사와 보안 업체가 패치를 만들고 배포하는 동안의 '시간차'가 방어 측의 숨 쉴 틈이었다. 미토스는 바로 이 부분을 깨뜨리게 된다. 앤트로픽과 보안 업계 분석에 따르면, 미토스 프리뷰는 오픈BSD(OpenBSD)에서 27년간 방치된 결함, 자동화 테스트를 500만번 돌려도 못 찾았던 FFmpeg의 16년 된 취약점, 리눅스 커널의 저위험 취약점들을 조합한 권한 상승 공격 체인 등을 연달아 찾아냈다.</p> <p contents-hash="0eb73112580cf1dcabfa47afe1adf40202e70cefc90529db49b1db556f0ec332" dmcf-pid="7tLQx7DgLh" dmcf-ptype="general">AI 모델은 사람 연구원이 수주~수개월 걸릴 작업을 몇 시간 안에 병렬로 처리할 수 있다. 글로벌 보안 커뮤니티는 이미 지난해부터 "AI와 자동화가 취약점 공개 이후 악용까지의 시간을 주·일 단위에서 불과 수분 단위까지 압축했다"는 경고를 해왔다. 미토스는 이런 경고가 더 이상 이론이 아니라 현실이 됐고, 그것도 압도적인 물량으로 쏟아지게 된다는 것을 재차 경고한 사례로 평가할 수 있다. 특히 기존에 글로벌 보안 커뮤니티가 운영해오던 90일 내 취약점 공개 관행은 인간 연구자 속도를 전제로 설계된 만큼, 미토스급 AI 앞에서는 기준 자체를 다시 논의해야 한다는 지적이 나오는 상황이다.</p> <p contents-hash="8018ff7de6ac7a3307d6d56cbe430d974690d6e4e87534dca743b9162a77a0b4" dmcf-pid="zFoxMzwaeC" dmcf-ptype="general">이러한 우려 때문에 현재 미토스는 앤트로픽이 일반에 공개하지 않고 방어 목적으로만 운용하기로 결정했다. 때문에 당장 '미토스를 무기로 한 AI 사이버 공격'이 무차별적으로 확산하지는 않을 전망이다. 하지만 그렇다고 안심해도 좋다는 것 역시 아니다. 앤트로픽은 "프런티어 AI의 역량이 수개월 안에 크게 진전될 것"이라고 언급했다. 이는 클로드가 아닌 동급 성능의 다른 모델들도 미토스의 수준을 몇 달 내에 따라잡을 것을 의미한다. 그렇게 되면 결국 공격자도 현재의 미토스와 같은 파괴적인 AI 기반 공격 수단을 쥐게 될 것으로 전망된다.</p> <p contents-hash="f6d6031f037e85b065283b1c7258bd792a5cb0c49d071010fe81bf2f383d4abf" dmcf-pid="q3gMRqrNdI" dmcf-ptype="general"><strong>미토스 선점 연합 '글래스윙' 가동했지만…한국은 협력 테이블 밖에</strong></p> <div contents-hash="878cd59d7637ddf0ac2363c383fa1e0e716c0700f4fb0ecf172ac92d715b63d7" dmcf-pid="B0aReBmjLO" dmcf-ptype="general"> 글래스윙은 앤트로픽이 미토스를 일반 이용자들에게 공개하는 대신, 핵심 파트너와 추가 40여개 조직에 미토스 프리뷰 접근권을 부여하기로 결정하고 발표한 프로젝트의 이름이다. 글래스윙에는 아마존웹서비스(AWS)·마이크로소프트·구글·애플·시스코·팔로알토네트웍스·크라우드스트라이크·엔비디아·JP모건체이스·리눅스재단·브로드컴 등 11개 기업·단체가 소속되며, 관련 조직까지 합치면 40여개 정도 규모로 알려졌다. 앤트로픽은 이들을 대상으로 최대 1억달러 상당의 AI 사용 크레딧을 지원하며, 오픈소스 보안단체에 지원금까지 제공한다고 발표했다. 미토스가 찾아낸 취약점은 해당 프로젝트나 벤더에 먼저 보고되고, 패치가 끝난 뒤에야 세부 정보가 공개될 것으로 보인다. </div> <figure class="figure_frm origin_fig" contents-hash="4d8d9f5cda5a829d68af738ead4fd1f040f907da640d059e07b5cc1d69085242" data-idxno="441089" data-type="photo" dmcf-pid="bpNedbsAds" dmcf-ptype="figure"> <p class="link_figure"><img alt="'프로젝트 글래스윙'에 속한 기업과 단체들 / 클로드 홈페이지 갈무리" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/17/552810-SDi8XcZ/20260417060031060nhtp.jpg" data-org-width="600" dmcf-mid="1smNjPyOnG" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/17/552810-SDi8XcZ/20260417060031060nhtp.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> '프로젝트 글래스윙'에 속한 기업과 단체들 / 클로드 홈페이지 갈무리 </figcaption> </figure> <p contents-hash="74bd8cfdb564729ab3c08d113b5f730c75f515ce9e9aa7b0ee398bfa4c5738b1" dmcf-pid="KQvrmi1yLm" dmcf-ptype="general">문제는 이 구조에서 협력체에 포함된 조직과 그렇지 않은 조직의 차이가 앞으로 크게 벌어질 것으로 예상된다는 데 있다. 참여 기업들은 취약점이 공론화되기 전에 이미 정보를 공유받고, 자사 시스템과 고객 환경에 선제 조치를 할 수 있다. 반면 그 밖의 기업·국가는 패치가 배포되고 CVE 정보가 공개될 때까지 기다려야 한다. AI가 매달 여러 건의 '제2의 로그포제이(Log4j)'를 만들어낼 수 있다는 전망까지 등장한 상황에서 정보 접근 타이밍의 격차는 곧 보안 수준의 격차를 의미하며, 앞으로 수개월에서 수년간 이 격차는 더 벌어질 것으로 예상된다. 여기에 글래스윙 참여 기업들은 미토스를 활용해 취약점을 발굴·검증·패치하는 전 과정을 먼저 경험하게 되므로, 데이터뿐 아니라 'AI 기반 취약점 대응 운영 노하우'까지 선점하게 된다는 점도 간과할 수 없다.</p> <p contents-hash="af4c7827a5b0c51fdb2dd7acc7550d89dae08baefbb428a4f8a2d1f63e88d571" dmcf-pid="9xTmsntWJr" dmcf-ptype="general">이 때문에 유럽에서도 글래스윙의 폐쇄성을 두고 논쟁이 시작됐다. 영국 AI보안연구소가 테스트에 참여한 반면, 독일 등 다수 EU 회원국은 접근 권한을 얻지 못한 것으로 알려졌다. 독일 연방정보기술보안청(BSI)은 "초고성능 AI 보안 역량이 소수 민간 기업에만 집중될 경우 국가 안보 주권에 위협이 될 수 있다"고 우려를 밝혔다. 물론 한국의 기업이나 정부기관 등도 현재까지 글래스윙 파트너 목록에 이름을 올리지 못하고 있다.</p> <p contents-hash="1af2290289a888991ec46b789c40aebd54d96e81949ea043c2a210153e2b44eb" dmcf-pid="2MysOLFYJw" dmcf-ptype="general"><strong>이틀 연속 긴급 점검 나섰지만… '글래스윙' 대응은?</strong></p> <p contents-hash="3b1d258d704ce8310fca5c60fad74c463779032188e4088cf01fced83692927a" dmcf-pid="VRWOIo3GiD" dmcf-ptype="general">우리 정부는 미토스 이슈가 불거진 직후 발 빠른 대응을 보이는 모양새다. 과기정통부는 14일 통신3사·네이버·카카오 등 주요 플랫폼 CISO(정보보호 최고책임자)를 불러 AI 기반 사이버 위협 대응 현황을 점검하고, 이상 징후 발생 시 KISA(한국인터넷진흥원)와 공유하라고 당부했다. 이튿날인 15일 오전에는 화이트해커를 보유한 주요 보안·IT 기업들을 다시 소집해 글로벌 AI 보안 프로젝트가 국내 산업에 미칠 영향과 대응 방안을 논의했다. 위기 인식을 공유하고 신고·공유 체계를 재점검하는 조치는 필요하다. 다만 이는 지금까지도 반복돼 온 '사후 대응' 프레임에서 크게 벗어나지 않는다는 점에서 한계를 드러낸다는 지적이 나온다.</p> <p contents-hash="827c7a3fef4a5f6ac6240f4c949b06b557faa21ba438c54ac7b4428acd15b114" dmcf-pid="feYICg0HME" dmcf-ptype="general">특히 정작 고민해야 할 논의가 빠져 있다는 점에서 우려를 남긴다. 앞서 언급했듯 미토스급 AI가 취약점을 대량 선점하고, 글래스윙 같은 폐쇄형 협력체가 그 정보를 먼저 가져가는 구조가 만들어지고 있다는 사실이다. 지금 정책 당국과 한국 보안 업계가 던져야 할 질문은 단순히 "AI로 무장한 공격자를 어떻게 막을 것인가"에 있지 않다. 글래스윙 같은 방어 연합에서 소외된 현재 위치를 바꿀 수 있을 것인지, 그러다면 그 방법은 무엇인지, 그리고 보다 근본적으로 그에 대응할 능력을 스스로 갖출 수 있는지까지 함께 돌아봐야 한다는 지적이 나온다.</p> <p contents-hash="fc8827d57a45ffaaf40634371dc078707f68c7707bcc1921b1e35c3092fc6e6e" dmcf-pid="4dGChapXRk" dmcf-ptype="general">김진수 한국정보보호산업협회(KISIA) 회장은 "미토스는 우리가 한 번도 경험하지 못한 수준의 기술적 위협"이라며 "정부가 미국 등 우방국과 외교 채널을 총동원해 글래스윙 등에서 논의되는 정보를 비공식적으로라도 공유받고, 이 기술에 어떻게 대응할지 구체적인 로드맵을 빠르게 제시하지 못하면 골든타임을 놓칠 수 있다"고 말했다.</p> <p contents-hash="0f7c199ab6c9c2cb0b2b34cb4e3ab170496ad65aa8a95569a1fe653eb19d5e34" dmcf-pid="8JHhlNUZnc" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 김구라, ‘육아인턴’서 딸 공개 04-17 다음 끝나지 않은 R&D예산 삭감 여파…日 중성미자 연구 참여 예산 '반토막' 04-17 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
