27년 '철통 방어벽' 몇 시간 만에 뚫렸다…"해킹 비용 2만~3만원"

[이데일리 윤정훈·안유리 기자] 앤스로픽의 최신 대형언어모델(LLM) ‘클로드 미토스 프리뷰’가 보안성이 매우 높은 운영체제 OpenBSD의 취약점을 단 1분 만에 찾아내고, 동시에 하위 모델인 ‘클로드 오퍼스 4.7’이 프로그램 내부에 숨겨진 암호 구조까지 분석하는 데 성공한 것으로 알려지면서 보안 업계에 충격이 확산되고 있다.

특히 27년 동안 전문가들이 발견하지 못한 취약점이 AI에 의해 단시간에 드러나고, 별도의 고도화된 해킹 기술 없이도 암호 체계 분석이 가능해지면서 기존 보안 패러다임이 근본적으로 흔들리고 있다는 평가가 나온다.

[이데일리 김정훈 기자]

이 같은 변화는 사이버 공격 환경의 구조 자체를 바꾸고 있다.

22일 클라우드보안연합(CSA)·SANS 등이 공동 발간한 ‘미토스 레디(Mythos-ready) 보고서’에 따르면, 취약점 공개 이후 실제 공격까지 걸리는 시간(TTE)은 2018년 평균 2.3년에서 2026년 20시간으로 급격히 줄었다. 이는 기존 보안 체계의 전제였던 ‘패치 시간 확보’ 개념이 사실상 무너지고 있음을 의미한다.

이러한 구조 변화는 공격의 확산 속도와 피해 규모에도 직접적인 영향을 미치고 있다.

한국인터넷진흥원(KISA)에 따르면 국내 민간 분야 침해사고 신고 건수는 2024년 1887건에서 2025년 2383건으로 1년 만에 26.3% 증가했다. 같은 기간 DDoS 공격은 약 2배(588건), 랜섬웨어 피해는 40.5% 늘었다.

랜섬웨어는 기업 내부망에 침투해 데이터를 암호화한 뒤 복구 대가로 금전을 요구하는 대표적인 사이버 협박 범죄다. 실제 랜섬웨어 추적 사이트 랜섬웨어닷라이브 기준 올해 1분기 한국 기업 대상 공격은 12건으로 전년 동기(5건) 대비 두 배 이상 증가했다. 월별로도 증가 속도가 가팔라지고 있다.

이로 인해 한국은 집계 이후 처음으로 글로벌 피해국 19위에 올랐으며, 2023년 이후 누적 피해 기업은 82곳에 달한다. 다만 국내 공시 기업 773곳의 정보보호 투자 비중은 IT 투자 대비 6.29%에 그쳐, 디지털 전환 속도를 따라가지 못하고 있다는 지적도 나온다.

◇“해킹 비용 1000만→3만원”…AI, 공격을 ‘상시 가능 영역’으로

AI 확산은 공격 비용 구조도 근본적으로 바꾸고 있다.

과거 전문가와 인프라가 필요했던 공격은 이제 AI 도구만으로 자동화되면서 비용이 급격히 하락했다. 보안기업 시스딕(Sysdig)은 AI 기반 공격이 관리자 계정 탈취까지 평균 8분이면 가능하다고 분석했다.

실제 미토스 레디 보고서는 국가 배후 조직이 AI 모델을 활용해 정찰부터 정보 탈취까지 공격 전 과정을 자동화한 사례도 제시했다. 이에 따라 북한의 라자루스와 같은 기존 국가 해킹그룹뿐 아니라, 기술 접근성만으로도 공격 역량이 확산되는 구조가 형성되고 있다는 분석이 나온다.

김혁준 나루시큐리티 대표는 “과거 1000만원이 들던 공격이 이제 2만~3만원 수준으로 가능해져 일반인도 공격 도구를 만들 수 있는 환경이 됐다”고 말했다.

염흥열 순천향대 정보보호학과 교수는 “공격자용 AI 모델과 인프라를 동시에 갖춘 국가는 사실상 미국과 중국”이라며 “국가 간 비대칭 위협이 더욱 확대될 것”이라고 전망했다.

◇정부 대응과 글로벌 공조 한계

정부도 대응에 나서고 있다. 류제명 과학기술정보통신부 차관은 미토스 공개 직후 통신 3사와 주요 플랫폼, 금융·제조·의료 기업 CISO를 긴급 소집해 연속 회의를 진행했으며, 국가안보실도 민·관·군 합동 대응을 주문했다.

배경훈 부총리 겸 과기정통부 장관은 “수십 년간 안전하다고 믿어온 보안 체계가 무력화될 수 있다”며 정보보호 산업을 국가 전략 산업으로 육성하겠다고 밝혔다.

다만 글로벌 협력 측면에서는 한계도 존재한다. 앤스로픽의 모델 조기 접근 프로그램 ‘프로젝트 글래스윙’에 한국 기업은 포함되지 않았고, 일부 국가만 제한적으로 참여하고 있는 상황이다. 이에 정부는 기업 네트워크와 외교 채널을 통해 추가 접촉을 시도하고 있다.

외교부는 “한미 양국은 AI 기반 신흥 사이버 위협에 대해 정보를 공유하고 공조를 강화할 것”이라고 밝혔다.

◇“보안 위기의 본질은 기술이 아닌 속도”…AI 시대, 기존 패치 중심 체계 한계

전문가들은 현재 사이버 보안 위기의 핵심을 ‘기술 경쟁’이 아니라 ‘속도 경쟁’으로 보고 있다. 취약점을 발견한 뒤 패치로 대응하는 기존 방식으로는, AI 기반 공격 속도를 따라잡기 어렵다는 지적이다.

최병호 고려대 AI연구소 교수는 “기술보다 법·행정 프로세스가 대응 속도를 따라가지 못하는 구조가 문제”라고 말했다. 김진수 한국정보보호산업협회 회장도 “기존 체계가 틀렸다는 의미는 아니지만, AI 기반 위협에는 새로운 대응 방식이 필요하다”고 강조했다. 김기홍 샌즈랩 대표는 “핵심은 취약점을 얼마나 빠르게 탐지하고 대응하느냐의 문제”라고 말했다.

AI가 소프트웨어 내부 암호 구조까지 분석할 수 있게 되면서 보안 방식 변화도 요구되고 있다. 기존처럼 시스템 내부에 암호키를 숨기는 방식은 한계에 직면했다는 평가다. 최근 테스트에서는 AI 모델 ‘클로드 오퍼스 4.7’이 바이너리 코드만으로 암호 구조와 키 위치를 추적할 수 있는 것으로 나타났다. 별도 해킹 기술 없이도 보안 체계가 무력화될 가능성이 제기된 것이다.

대안으로는 보안 전용 칩(Secure Element)처럼 별도 하드웨어에 키를 저장하는 방식이 거론된다. 이 칩은 외부 접근을 물리적으로 차단해 ‘디지털 금고’ 역할을 한다. 또한 ARM 트러스트존처럼 하나의 칩을 보안 영역과 일반 영역으로 나누는 기술도 확산되고 있다.

보안 업계 관계자는 “AI 분석 능력으로 인해 소프트웨어 기반 은닉 보안은 한계에 도달했다”며 “하드웨어 기반 보호가 필수 요소가 될 것”이라고 말했다.