"인류의 마지막 시험을 통과한 해커 AI"…'미토스' 쇼크, 보안의 룰을 바꾼다

앤트로픽이 개발한 '미토스'로 인해 영화에서만 볼 수 있던 'AI 해커'와 'AI 방어자'가 정면충돌하는 새로운 사이버전 시대가 막을 올렸다. ⓒ 제미나이 생성 이미지.

[프라임경제] "AI가 수십 년 된 시스템의 보안 취약점을 스스로 찾아내고, 자율적으로 서버망을 장악한다"는 상상 속 시나리오가 현실이 되며 전 세계 사이버 보안 업계와 각국 정부에 비상이 걸렸다. 최근 AI 기업 엔트로픽(Anthropic)이 개발한 미토스(Mythos)의 압도적인 해킹 및 추론 능력이 공개되면서다.

즉, 영화에서만 볼 수 있던 'AI 해커'와 'AI 방어자'가 정면충돌하는 새로운 사이버전 시대가 막을 올린 것이다.

미토스는 엔트로픽이 지금까지 개발한 모델 중 가장 강력하다고 자평하는 최신 AI 모델이다. AI 최상위 모델 성능 평가에 쓰이는 박사급 난이도 문제인 '인류의 마지막 시험 벤치마크'에서 현존 최고 정답률을 기록했으며, 그 진가는 사이버 보안 영역에서 발휘됐다.

가장 충격적인 것은 미토스의 취약점 발견 능력이 이미 일반 해커 이상이라는 점이다. 세계에서 가장 강력한 보안을 지닌 것으로 평가받는 유닉스 계열 운영체제 '오픈BSD(OpenBSD)'에서 사람이 무려 27년간 발견하지 못했던 취약점을 찾아냈다.

널리 쓰이는 영상 인코딩 소프트웨어 FFmpeg에서도 16년 된 취약점을 찾아냈다. 다수의 리눅스 코드 문제를 조합해 서버를 장악할 수 있는 복합 공격 방식까지 스스로 고안해 냈다.

영국 AI 안전연구소(AISI) 평가에 따르면, 미토스는 외부 침투부터 내부 이동, 권한 상승, 데이터 탈취로 이어지는 기업망 공격 시나리오를 처음부터 끝까지 자율적으로 완수했다. 

주요 외신들에 따르면 테스트 과정에서 자체 샌드박스 환경을 탈출하려는 시도까지 한 것으로 전해져 충격을 더하고 있다. 소프트웨어의 보안 결함을 탐지하는 능력이 너무 뛰어나 해커나 범죄집단에 악용될 우려가 크기 때문에, 엔트로픽은 미토스를 일반 대중에게 공개하지 않기로 결정했다.

◆ 한미 당국 '긴급 회동'…"방어에 먼저 활용하라" 제한적 개방

미토스의 파괴력이 알려지자, 미국 정부는 즉각 움직였다. 미국 금융 당국은 최근 주요 금융회사 CEO를 소집해 긴급 보안 점검 회의를 진행했다. 미토스와 같은 AI가 은행과 금융망을 침입할 해킹 리스크에 대비하기 위함이다.

백악관 국가사이버국장 역시 주요 민관 기업을 한자리에 모아 핵심 인프라 방어 강화 작업에 돌입했다.

미국 정부는 은행사에 미토스 모델을 시범 적용하라고 권고했으며, 공식 파트너사로 지정된 JP모건체이스 등은 해당 모델을 활용해 시스템 취약점 점검을 진행 중이다.

엔트로픽은 '프로젝트 글래스윙(Project Glasswing)'이라는 이니셔티브 하에, 지난 4월 7일 구글, 애플, MS, 엔비디아 등 12개 빅테크와 엄선된 40여 개 기관에만 제한적으로 미토스 접근을 허용했다. 

방어자들이 미토스를 활용해 자사 소프트웨어의 취약점을 탐지하고 사이버 공격을 선제적으로 막도록 한 조치이며, 운영 결과 보고서는 오는 7월경 공유될 예정이다.

국내 당국과 업계의 움직임도 분주하다. 금융감독원은 3월 금융보안통합관제시스템(FIRST)을 통해 전파한 보안 위협 횟수가 2월 대비 2.5배 급증했다고 밝혔으며, 최근 텔레그램 등을 통한 국내 금융사 대상 해킹 신고도 늘어나는 추세다.

이에 금감원은 4월 13일 금융사들을 긴급 소집해 EDR 구축 추진, 제로트러스트 보안체계 마련, '레드티밍', 공격표면관리(ASM) 강화 등 미토스 대응 계획을 공유했다.

◆ '창과 방패의 전쟁' 요동치는 보안 시장 속 수혜 기업 '옥석가리기'

엔트로픽의 행보에 맞불을 놓듯 경쟁사들의 발걸음도 빨라지고 있다. 미토스 출시 이전인 2월, 오픈AI는 차세대 에이전트 코딩 모델인 'GPT-5.3-Codex'를 기반으로 한 'Trusted Access for Cyber' 프로젝트를 공개한 바 있다. 

이후 미토스가 화제를 모은 지 일주일 만에, 오픈AI 역시 소프트웨어 보안 결함 탐지에 최적화된 새로운 보안 전문 AI 모델을 일부 기업에 제공하기 시작했다.

이와 관련해 권명준 유안타증권 연구원은 "사이버 보안 관련 AI 시대가 본격적으로 도래하며, 시장의 패러다임도 변하고 있어 주목해야 할 때"라고 짚었다. 

한편 이러한 분위기 속에 뉴욕증시에선 해킹의 대안이 될 것으로 기대되는 양자컴퓨팅 관련 기업들의 주가가 급등세를 보였다. 대표적으로 아이온큐, 디웨이브시스템, 리게티컴퓨팅, 퀀텀컴퓨팅 등이 있다.

이에 국내 양자암호 관련주들과 보안주들에 관심도 증폭되고 있다. 양자암호 관련주로는 엑스게이트, 아이씨티케이, 케이씨에스, 드림시큐리티, 포톤 등이 있으며 보안주로는 라온시큐어, 샌즈랩, 지니언스, 에스넷, 한싹 등이 강한 시세를 연출하고 있다. 

김재임 하나증권 연구원은 "AI 진화는 공격 기술 발전과 가속화를 초래하기에 기업의 방어 시스템 업그레이드가 필수이며 전체 IT 지출에서 보안 비중 상승을 야기할 것으로 예상된다"며 "보안 수요 상승 속에서 AI를 가장 적극적으로 적용하고 AI 보안 포트폴리오를 가장 빠르게 확장하고 있는 기업들의 수혜가 가장 클 것"이라고 전망했다.