이르면 5월말 정부 '미토스 대응책' 나온다…과기부, 전문가 의견 긴급 청취

배경훈 부총리 겸 과학기술정보통신부 장관이 8일 미토스 관련 산학연 전문가 간담회에서 발언을 하고 있다. (사진=과학기술정보통신부)

[이데일리 한광범 기자] 앤스로픽(Anthropic)의 차세대 AI 모델 ‘미토스(Mythos)’ 등 글로벌 고성능 AI로 인한 사이버 보안 위협이 확산되는 가운데, 정부가 이르면 5월 말 범정부 AI 사이버 보안 대응 전략을 내놓기로 했다. 주무부처인 과학기술정보통신부는 오는 11일 방한 예정인 앤스로픽 고위 관계자들을 만나 대책을 논의할 예정이다.

과기정통부는 8일 서울 광화문 국가과학기술자문회의 사무실에서 배경훈 부총리 겸 과기정통부 장관 주재로 ‘빅테크 AI기업 사이버보안 프로젝트 관련 전문가 간담회’를 열고 고성능 AI 모델의 보안 영향과 향후 대응 방안을 논의했다.

최우혁 정보보호네트워크정책실장은 백브리핑에서 “오늘 회의는 단순히 CISO나 CEO를 대상으로 한 단기 대응 방법론을 제시하는 수준을 넘어, AI발 사이버 공격의 가능성이 급증하는 현 상황에 대해 중장기적이고 체계적인 대응책을 마련하기 위함”이라고 설명했다. 이날 회의에는 독자파운데이션모델(독파모) 기업, 주요 AI 기업, 보안 학계 및 산업계 전문가들이 참여해 약 110분 동안 심도 있는 논의를 진행했다.

고성능 AI ‘미토스’ 공습…오퍼스 4.7 테스트서 7건 취약점 확인

현재 전 세계 보안 시장의 화두인 ‘미토스’는 대규모 소프트웨어의 ‘제로데이(Zero-day)’ 취약점을 자동 탐지·분석하는 능력을 갖췄다. 앤스로픽은 이를 기반으로 구글, 마이크로소프트 등과 함께 ‘프로젝트 글래스윙(Project Glasswing)’을 가동 중이다. 오픈AI 역시 ‘GPT-5.5-Cyber’ 기반의 ‘트러스티드 액세스 포 사이버(TAC)’ 프로젝트를 통해 글로벌 보안 생태계를 선점하고 있다.

최 실장은 “일부에서는 미토스 위협이 과대평가됐다는 시각도 있지만, 여전히 경계가 필요한 시점임은 분명하다”며 “고성능 AI는 보안의 강력한 수단인 동시에 공격의 날카로운 무기가 될 수 있어 민관이 함께 대응 방안을 모색해야 한다는 점에 대해 오늘 회의에 참석한 전문가들의 의견이 일치했다”고 전했다.

앞서 정부는 미토스의 위험성을 선제적으로 측정하기 위해 오퍼스 4.7 모델을 실증 테스트에 활용했다. 미토스는 현재 보안 우려로 인해 일반 공개가 보류된 채 ‘글래스윙’ 참여사들에게만 폐쇄적으로 운영되고 있어 정부가 직접적인 평가를 하기 어렵기 때문이다. 이에 따라 성능은 미토스보다 약간 낮지만 세이프가드 설정이 유사하며 현재 일반에 공개된 최상위 모델을 통해 간접적으로 위험성을 측정한 것이다.

테스트 결과, 전문 해커 수준의 사용자가 정교한 프롬프팅을 통해 AI의 보안 가드레일을 단계별로 우회하자 인증 시스템의 취약점이 발견된 사례가 7건 확인됐다. 과기정통부는 지난달 28일 국회 과학기술정보방송통신위원회 전체회의에서 관련 내용을 보고하며, 한 줄의 프롬프트로 즉각 해킹되는 수준은 아니지만 해커가 작심하고 다단계 시나리오를 짤 경우 국가 핵심 인프라에 대한 보안 위협으로 이어질 수 있음을 시사했다.

앤스로픽 정책총괄 11일 회동…‘글래스윙’ 참여 등 글로벌 협력 타진

최 실장은 “전문 해커가 수작업으로 며칠을 매달려야 할 취약점 분석 작업을 AI는 불과 10여 분 만에 완수하며 다수의 취약점을 찾아냈다”며 “AI 시대에는 어디서 어떤 공격이 올지 예측하기 어렵기 때문에, 방어 실패에 대한 책임을 추궁하기보다는 회사의 복구 전략이 잘 갖춰져 있는지 점검하는 방식으로 보안 정책과 문화의 패러다임이 전면 전환돼야 한다”고 강조했다.

글로벌 협력을 위한 외교적 행보도 빨라진다. 오는 11일 마이클 셀리토 앤스로픽 글로벌 정책 총괄이 방한해 류제명 과기정통부 2차관과 면담할 예정이다. 배 부총리 만남 여부는 아직 확정되지 않았다. 백악관 국가안보회의(NSC) 출신인 셀리토 총괄과의 만남에 대해 최 실장은 “글래스윙 참여에 대해서는 엔트로픽 측과 계속해서 협의를 진행 중이라는 점까지만 확인해 드릴 수 있다”며 조심스러운 입장을 보였다.

최우혁 과학기술정보통신부 정보보호네트워크정책실장이 8일 오후 간담회 관련해 기자들의 질문에 답을 하고 있다. (사진=한광범 기자)

앤스로픽 측이 글래스윙 참여 기관 명단을 비공개로 유지하고 있어 구체적인 현황 파악은 어렵지만, 최 실장은 “대한민국의 정보보호를 책임지는 입장에서는 어떤 프로젝트든 참여를 통해 국내 기업의 보안 수준을 높일 수 있다면 당연히 적극적으로 노력해야 한다”며 정부 차원의 지속적인 접촉 의지를 밝혔다.

‘보안 주권’ 확보 위해 독파모 활용…5말 6초 범정부 대책 발표

이날 전문가 간담회에선 국내 AI 생태계의 자생력을 키워야 한다는 ‘보안 주권’ 필요성에도 공감대가 형성됐다. 간담회에 참석한 국내 독파모 기업들은 우리 고유의 AI 시스템을 보안 영역에 특화해 활용해야 한다는 데 뜻을 모았다. 최 실장은 “대한민국처럼 독자 파운데이션 모델을 보유한 국가가 많지 않은 만큼, 우리가 가진 AI 역량을 보안 강화에 투입해야 한다는 필요성을 검토하고 있다”며 “이를 위해 양질의 보안 데이터 확보와 정부의 전폭적인 지원이 뒷받침돼야 한다는 목소리가 높았다”고 말했다.

배경훈 부총리는 이날 간담회에서 “이번 이슈로 인해 우리 사회 정보보호 패러다임도 이제 AI 기반 보안으로 대전환을 더 늦추기 어려운 상황”이라며 “국내 AI 보안 특화 모델 개발을 추진하는 한편, 사회 전 분야에 제로트러스트 철학의 확산, 양자보안 등 원천적인 방어체계 확립 등 관련 대응방안을 각 분야 전문가와 함께 조속히 마련하겠다”고 밝혔다.

정부는 조만간 김진수 정보보호산업협회장의 건의에 따라 정보보호 산업계와 추가 간담회를 열어 현장의 구체적인 애로사항을 청취할 계획이다. 이어 11일 앤스로픽 면담 결과와 산업계 의견을 종합해 ‘5말 6초’ 대책을 발표한다. 이 대책에는 AI 보안 전문 인력 양성 계획과 내년도 예산 사업, 그리고 하반기 국회 원 구성에 맞춘 법·제도적 정비 방안이 상세히 담길 예정이다.