앤트로픽의 인공지능(AI) '미토스'가 촉발한 사이버 위협 확대로 보안 패러다임 전환 요구가 커지고 있다. AI가 취약점 탐지부터 공격 코드 생성까지 시간을 급격히 단축시키면서, 정부와 산업계의 대응 전략 재정립이 시급하다는 지적이 나온다.
클라우드 보안 연합(CSA), 샌스 인스티튜트(SANS), 오와스프(OWASP)가 14일(현지시간) 공동발간한 '미토스-레디' 보고서에 따르면 취약점이 발견된 이후 실제 공격에 악용되기까지 걸리는 시간(TTE)이 2018년 2.3년에서 2026년 20시간으로 단축됐다. AI 등 신기술이 빠른 속도로 발전했기 때문이다.
특히 미토스가 보안 취약점을 단시간에 찾아낸다는 사실이 전해지면서 AI 보안 위협에 신속 대응해야 한다는 목소리가 높아졌다.
이에 국내 전문가들은 공통적으로 기존 보안 체계가 한계에 직면했다고 진단하면서도, 해법을 두고는 다양한 접근 방법을 제안했다.
윤두식 이로운앤컴퍼니 대표(국가AI전략위원회 위원)은 “각 기관·기업이 자체 시스템을 따로 운영하는 온프레미스 방식이 대응 속도를 늦추고 있다”며 “기밀 정보를 제외한 영역은 서비스형 소프트웨어(SaaS) 기반으로 전환하고, 중요 취약점은 신속 대응과 패치 기한 설정으로 관리되도록 제도를 개선해야 한다”고 강조했다.
김휘강 고려대 교수(개인정보위 비상임위원)는 “징벌적 과징금 규제를 넘어 기업의 자발적 보안 투자를 유도하는 인센티브 방안을 대폭 확대해야 하고, '보안 취약점 신고·조치·공개(CVD) 제도'도 현장에서 원활히 작동하도록 기반을 마련해야 한다”며 “이러한 제도 개선을 위한 정부 부처 간 원활한 협의가 요구된다”고 제언했다.
정부가 나서 앤트로픽·오픈AI 등 해외 AI 기업의 보안 프로젝트에 참여해야 뒤처지지 않을 수 있다는 조언도 나왔다. 상호 협력하지 않으면 빠르게 변화하는 기술 흐름을 따라갈 수 없다는 판단이다.
김진수 한국정보보호산업협회 회장은 “AI 기반 위협은 기존 방식으로 대응이 불가능하다”며 “정부가 외교력을 발휘해 앤트로픽 '글래스윙스' 등에 참여할 방법을 만들고 관련 정보와 자원을 공유할 필요가 있다”고 말했다.
김승주 고려대 교수(국가AI전략위원회 보안특위 위원)도 “기업에 'AI 위협에 철저히 대응해달라'고 당부하는 건 요식행위”라며 “정부는 탑티어 AI 기업과 정보를 실시간 공유할 수 있는 핫라인을 만들어야 한다”고 역설했다.
AI 시대를 맞아 새로운 보안 거버넌스 구축을 위한 정부 투자 확대 필요성도 제기됐다. 김진수 회장은 “국가 차원의 거대 연구개발(R&D)을 통해 정부·기업·학계가 참여하는 새로운 통합 보안 대응 체계를 만들어야 한다”고 밝혔다.
공공·민간 전반에서 기본 보안 관리가 미흡했던 만큼, 새로운 기술 도입에 앞서 기존 취약점 제거가 우선이라는 지적도 나왔다. AI로 우려되는 부분은 보안 패치가 아직 없는 '제로데이' 취약점을 활용한 공격이지만, 국내는 예방이 가능한 '원데이 취약점'도 여전히 다수 존재해 이에 대한 보완이 시급하다는 진단이다.
김용대 한국과학기술원(KAIST) 교수는 “지난해 통신사 사고에서 오래된 악성코드가 발견됐듯이 보안 체계 기반이 취약한 상황”이라며 “해커의 공격 경로를 줄이는 것이 핵심으로, 기존 취약점을 막지 못한 상태에서 새로운 위협에 우선적으로 대응하는 건 실효성이 없다”고 꼬집었다.
박진형 기자 jin@etnews.com
