22일(현지시간) 블룸버그 통신에 따르면 앤스로픽은 고성능 AI 모델 ‘미토스’ 프리뷰 공개 이후 제3자 협력업체 권한을 통한 비인가 접근 정황을 조사 중이다. 일부 제한된 기관에만 제공된 모델임에도 통제 범위를 벗어난 접근 가능성이 제기되면서 보안 우려가 커지고 있다.
미토스는 오는 7월 정식 공개를 앞두고 있으며, 현재 조사 중인 통제 이슈와 맞물려 공개 전까지 유사한 위험이 지속될 수 있다는 관측도 나온다. 업계에서는 테스트 단계에서 이미 보안 경계가 흔들린 만큼 상용 환경에서는 위험이 더 커질 수 있다고 보고 있다.
미토스는 ‘프로젝트 글래스윙’ 참여 기관 약 40곳에 제한적으로 제공된 모델로, 아마존(AWS), 애플, 구글, 마이크로소프트(MS), 엔비디아 등 글로벌 기업과 미국 국가안보국(NSA) 등이 참여한 것으로 알려졌다.
우리 정부도 과학기술정보통신부를 중심으로 행정안전부, 국가정보원 등이 AI 보안 영향 및 대응 방안을 논의 중이다. 류제명 과기정통부 차관은 “앤스로픽, 오픈AI 등에 글래스윙 참여를 타진하고 협의하고 있다”며 “고성능 AI가 보안에 미칠 영향을 산업계와 긴밀히 점검 중”이라고 밝혔다.
|
◇“분석·공격 통합…소프트웨어 보안 전제 흔들”
보안 업계는 AI 기반 위협의 핵심 변화를 “취약점 분석과 공격 기능의 통합”으로 보고 있다. 기존처럼 분석과 공격이 분리되지 않고 하나의 자동화된 흐름으로 결합되고 있다는 것이다.
이미 일부 고성능 AI는 단순 코드 입력만으로 시스템 내부 구조를 분석하고, 보안 통신 핵심 프로그램 위치나 암호키 저장 구조까지 추적할 수 있는 수준에 도달한 것으로 알려졌다. 이에 따라 “코드 안에 숨기면 안전하다”는 기존 보안 전제는 빠르게 약화되고 있다는 지적이 나온다.
특히 소프트웨어 기반 보안 체계의 한계가 드러나면서, 외부 접근이 불가능한 칩 내부에서 데이터를 보호하는 하드웨어 기반 보안 기술이 대안으로 부상하고 있다.
◇“7월 공개 전 보안 공백…핵심은 IT 자산 관리”
미토스의 7월 글로벌 공개 전까지는 사실상 ‘보안 공백 구간’이 될 수 있다는 우려도 커지고 있다. 제한된 환경에서도 AI 기반 공격 가능성이 확인된 만큼, 본격 확산 단계에서는 위협이 더 커질 수 있다는 것이다. 업계 관계자는 “현재는 대응 자체가 쉽지 않은 단계”라며 “정부도 기업들과 접촉을 시도하고 있지만 뚜렷한 해법은 제한적”이라고 말했다.
이에 따라 당장 시급한 과제로 IT 자산 관리가 지목된다. 운영체제(OS), 데이터베이스(DB), 웹서버, 버전, 오픈소스 등 전반을 정확히 파악해야 향후 공개될 취약점에 즉시 대응할 수 있다는 설명이다.
윤두식 이로운앤컴퍼니 대표는 “기본적인 IT 자산 관리가 부족한 상태에서 AI 기반 공격 속도만 빨라지고 있다”며 “AI가 취약점을 무기화하는 시간도 매우 짧아지는 만큼, 사후 대응 중심 체계로는 한계가 있다”고 말했다. 이어 “사전 자산 관리와 자동화된 보안 대응 체계 구축이 선행돼야 한다”고 강조했다.
김승주 고려대 정보보호대학원 교수는 AI 시대 보안의 핵심 문제를 기술이 아닌 구조에서 찾았다. 그는 “AI 시대 보안 문제는 기술이 아니라 의사결정 구조와 조직 문화의 문제”라며 “공격자는 즉시 실행이 가능한 반면 방어는 보고·예산·도입 절차를 거치면서 항상 늦어질 수밖에 없는 구조적 비대칭이 존재한다”고 말했다. 이어 “이 격차를 줄이려면 보안 담당자에게 실질적인 권한이 부여되고, 조직 거버넌스 자체가 빠르게 대응할 수 있는 구조로 바뀌어야 한다”고 강조했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
