[미토스 이후, 전문가에게 듣는다⑨] 보안 전문가들이 본 AI 시대의 사이버보안, 무엇이 달라졌나
Source: Byline Network
앤트로픽의 새 인공지능(AI) 모델 ‘클로드 미토스(Claude Mythos)’ 등장을 계기로 AI가 사이버보안 분야에 미칠 영향에 대한 논의가 커지고 있다. AI가 취약점을 찾고 공격 경로를 설계하는 능력을 어디까지 갖췄는지, 그리고 이를 방어 체계가 따라갈 수 있는지 등을 두고 우려가 커지고 있다. 바이라인네트워크는 ‘미토스 이후, 전문가에게 듣는다’ 시리즈로 미토스 프리뷰를 접한 전문가들의 견해와 에이전틱 AI 시대의 사이버보안 대응 방향을 살펴본다. 9편과 10편에서는 앞선 인터뷰에서 나온 내용을 ‘진단’과 ‘대응’으로 나눠 정리한다. 9편은 전문가들이 미토스 이후 AI 보안 위협을 어떻게 진단했는지에 초점을 맞췄다. [편집자주]
[미토스 이후, 전문가에게 듣는다①] 윤인수 카이스트 교수 “AI가 숨은 취약점 다 찾아낼 것”
[미토스 이후, 전문가에게 듣는다②] 이상근 고려대 교수 “사이버보안 전략 무기가 되는 시대”
[미토스 이후, 전문가에게 듣는다③] 박관순 티오리 CISO “AI 해킹, 모델보다 시스템 싸움”
[미토스 이후, 전문가에게 듣는다④] 최영철 SGA솔루션즈 대표 “미토스는 핵폭탄, 제로 트러스트 전환 앞당겨야”
[미토스 이후, 전문가에게 듣는다⑤] 윤두식 이로운앤컴퍼니 대표 “AI 보안의 출발점은 거버넌스”
[미토스 이후, 전문가에게 듣는다⑥] 최경진 가천대 교수 “AI 시대의 법제도, ‘책임 있는 이용’ 논의 시작해야”
[미토스 이후, 전문가에게 듣는다⑦] 곽진 아주대 교수 “AI 기업이 글로벌 안보 지형 바꾸는 시대 왔다”
[미토스 이후, 전문가에게 듣는다⑧] 김창훈 대구대 교수 “AI 위협은 사이버 팬데믹, 취약한 곳부터 긴급 방어 체계 필요”
[미토스 이후, 전문가에게 듣는다⑨] 보안 전문가들이 본 AI 보안 위협, 무엇이 달라졌나 (이번호)
(출처=AI 생성 이미지)
앤트로픽의 AI 모델 미토스 이후의 변화에 대한 국내 보안 전문가들의 진단을 종합하면 이렇다. “미토스는 단순히 취약점을 잘 찾는 AI 모델이 아니라 사이버 공격의 비용과 속도, 방어자의 대응 구조, 국가안보와 기업 거버넌스의 전제를 함께 흔드는 강력한 신호”라는 것이다.
이 변화는 몇 가지 흐름으로 이어진다. 먼저 AI는 공격자가 취약점을 찾고 검증하는 비용을 낮춘다. 사람이 직접 하던 코드 분석과 공격 가능성 검토를 AI가 대신하거나 보조하면, 더 짧은 시간에 더 많은 취약점을 찾아낼 수 있다. 그렇게 발견된 수많은 취약점은 단순한 기술 결함에 그치지 않는다. 누가 먼저 찾고, 고치고, 정보를 통제하느냐에 따라 국가안보와 산업 경쟁력에 영향을 주는 자산이 된다. 그리고 방어자는 더 많은 취약점과 더 짧은 대응 시간에 쫓긴다. 여기에 AI 에이전트가 업무 시스템과 연결되면 권한 위임, 행위 기록, 사고 책임 문제까지 함께 커진다.
공격 비용 낮춘 AI, 자동화 넘어 자율화로
윤인수 카이스트 교수는 미토스 등장 이후의 핵심을 ‘사이버 공격 비용의 하락’으로 짚었다. 사이버 공격은 원래 시간과 비용이 많이 드는 작업이다. 공격자는 대상 시스템을 분석하고, 취약점을 찾고, 이를 실제 공격으로 연결할 방법을 검토해야 한다.
AI가 이 과정을 줄이면 공격의 경제성이 달라진다. 공격자가 직접 오랜 시간 들여다보지 않았기 때문에 안전해 보였던 시스템도 위험해질 수 있다. 윤 교수는 AI가 숨은 취약점을 대량으로 찾아낼 경우, 그동안 공격자의 관심 밖에 있던 시스템까지 공격 대상이 될 수 있다고 봤다.
곽진 아주대학교 사이버보안학과 교수의 진단은 여기서 한 걸음 더 나아간다. 공격 비용을 낮추는 수준을 넘어, AI 기반 공격 도구가 ‘자동화’에서 ‘자율화’로 이동하고 있다는 것이다. 기존 AI 기반 공격 도구는 사람이 프롬프트를 바꾸고, 결과를 해석하고, 다음 명령을 내려야 했다. 도구의 속도는 빨랐지만 사람의 개입이 컸다.
실제로 최근 공개된 미토스는 단순 자동화를 넘어서는 성능을 보였다. 앤트로픽은 지난달 시작한 글래스윙 프로젝트에서 미토스 프리뷰가 협력 기관과 기업의 소프트웨어 취약점 점검에 활용됐고, 전체적으로 1만건이 넘는 취약점 발견에 기여했다고 밝혔다. 미토스가 코드 분석 결과를 바탕으로 취약점 가능성을 찾고, 이를 실제 익스플로잇 구성으로 이어가는 수준을 보였다는 것이다. 윤 교수가 말한 공격 비용 하락이 곽 교수가 말한 자율화와 맞닿는 지점이다.
클라우드플레어는 글래스윙 프로젝트 참여 과정에서 미토스 프리뷰를 자사 코드 저장소에 적용했다. 클라우드플레어는 미토스가 단순히 의심되는 버그를 나열하는 데 그치지 않고, 여러 약한 신호를 조합해 익스플로잇 가능성을 검증하는 데 강점을 보였다고 평가했다. 다만 일반 코딩 에이전트를 저장소에 붙이는 방식만으로는 충분하지 않다고 봤다. 범위를 좁힌 작업, 병렬 에이전트, 독립 검증, 중복 제거, 구조화된 보고 체계가 함께 있어야 의미 있는 결과가 나온다는 설명이다.
전문가들은 미토스가 사이버보안 특화 모델이 아니라 범용 모델이라는 점에도 주목했다. 곽진 교수는 ”클로드는 코드 리뷰와 바이브 코딩에서 강점을 보여온 범용 AI 모델이다. 그런데 이 코드 이해 능력이 보안 취약점 탐지와 공격 구성으로 연결됐다”며 ”이는 앞으로 다른 범용 AI 모델도 특정 보안 작업을 수행할 수 있을 가능성을 보여준다”고 설명했다.
박관순 티오리 최고정보보호책임자(CISO)도 비슷한 문제의식을 제기했다. 그는 AI 취약점 탐지의 핵심을 모델 하나로 좁혀서는 안 된다고 봤다. 티오리는 ‘유 돈트 니드 미토스. 유 니드 어 시스템(You Don’t Need Mythos. You Need a System)’ 백서에서 모델 성능뿐 아니라 하네스와 오케스트레이션 같은 시스템 구성이 중요하다고 설명했다. 하네스는 AI가 코드를 실행하고 시험할 수 있게 만든 테스트 환경이다. 오케스트레이션은 여러 AI 에이전트가 역할을 나눠 움직이도록 조율하는 구조다. 단순히 대규모언어모델(LLM)에 코드를 넣고 “취약점을 찾아달라”고 묻는 방식과 달리, AI가 코드를 시험하고 여러 후보 경로를 검증할 수 있는 시스템이 결합될 때 결과가 달라진다는 설명이다.
이처럼 AI는 공격자가 들여야 했던 탐색 비용을 낮추고, 사람이 하던 분석과 검증 일부를 자동화하며, 여러 단계의 작업을 자율적으로 이어가는 방향으로 움직이고 있다. 여기에 코드 실행 환경과 에이전트 구조가 붙으면 공격과 방어의 방식 자체가 달라질 수 있다.
취약점 정보, 국가안보에 영향 미치는 ‘전략 자산’ 됐다
AI가 취약점을 더 빨리 찾고 공격 가능성을 검증할 수 있게 되면, 취약점의 의미도 달라진다. 이상근 고려대학교 정보보호대학원 스마트보안학부 교수는 미토스를 ‘AI 패권 경쟁’과 ‘국가안보’의 관점에서 봤다.
이 교수는 ”코딩을 잘하는 AI가 보안을 잘하게 되고, 그 능력이 취약점 탐지와 공격 도구 생성, 심각도 분류, 패치 자동화로 이어지면 사이버보안 자체가 전략 자산이 된다”고 설명했다. 취약점은 단순한 기술 결함이 아니라 누가 먼저 찾고, 누가 먼저 고치며, 누가 그 정보를 통제하느냐의 문제가 된다.
특정 국가나 기업이 고도화된 AI 모델로 취약점을 먼저 찾고 위험도를 분류할 수 있다면, 다른 국가는 그 분석