괴물 보안AI '미토스' 해킹 당했나...앤트로픽, 또 보안사고

사이버보안 취약점을 공격하는 능력이 뛰어나 '보안 핵폭탄'으로 지목되고 있는 인공지능(AI) 기업 앤트로픽의 새 AI 모델 '클로드 미토스(Claude Mythos, 일명 미토스)'의 프리뷰 버전에 권한이 없는 사람 몇 명이 무단으로 접속한 '사고'가 발생, 회사 측이 21일(현지시간) 조사에 착수했다고 파이낸셜타임즈(FT) 등 외신이 보도했다. 근래 한달만에 일어난 앤트로픽의 세번째 보안 사고다.

특히 이번 사고는 제3의 협력업체를 일컫는 '서드파티 기업(third-party companies)'를 통해 일어나 공급망 보안에도 새로운 환기를 불러일으켰다. 앤트로픽은 "현재까지 이러한 무단 활동이 우리 회사 내부 시스템에 영향을 미쳤다는 증거는 발견되지 않았다"고 밝혔다.

하지만 이번 사건을 첫 보도한 블룸버그에 따르면 무단 접속을 시도한 사람들은 미공개 AI 모델 관련 정보를 찾아 공유하는 '디스코드(Discord)'에 속해 있으며, 여러 방법을 동원했는데 이중 '접속'이라는 방법을 사용해 미토스 접근 권한을 이미 확보, 정규적으로 사용해 온 것으로 알려졌다. 하지만 앤트로픽의 핵심 시스템에 침투하는 건 실패한 것으로 전해졌다. 또 이들은 '미토스'를 실제 사용하고 있다는 증거로 스크린샷과 소프트웨어 실시간 시연 자료를 블룸버그에 제공했다.

블룸버그는 이 그룹이 미토스가 공개된 당일(7일) 모델 접근에 성공했지만 새로운 모델을 실험해 보는 데 관심이 있을 뿐, 이를 악의적으로 활용하려는 목적은 없다고 설명했다. 이어 만약 이번 무단 사용이 사실로 확인될 경우, 기업 보안 우려를 해소하기 위해 제한적으로 배포했던 미토스 전략 자체에 큰 타격이 될 전망이다.

기업 가치가 3800억 달러인 미국 AI스타트업 앤트로픽은 지난 7일(미국시각) '미토스'를 프리뷰 버전으로 발표했다. '미토스'는 사람이 지난 27년간 발견하지 못한 보안 취약점을 발견하는 등 가공할 보안 취약점 탐지 능력 때문에 찬사와 우려를 동시에 받았다. 이에, 앤트로픽은 아마존, 마이크로소프트, 애플,시스코,크라우드스트라이크 등 약 40곳의 협력기업에게 '미토스'를 전달, 패치(보안 취약점 보완 제품)를 만들 것을 주문한 바 있다. 공개 명단에는 포함되지 않았지만 미국 국방부 산하 정보기관 국가안보국(NSA)도 비공개로 참여중인 것으로 알려졌다.

'미토스' 모델이 인간 능력을 넘어서는 속도와 규모로 사이버 공격에 악용될 가능성이 있어 일부 신뢰된 기술기업들에만 제한적으로 제공한 것이다. 실제 보안 전문가들은 ' 미토스'가 해커들의 손에 들어갈 경우 공격 대상 조직이 수정하는 속도보다 더 빠르게 해커들이 버그를 악용할 수 있다고 경고해 왔다.

그런데 이번에 외부 침입자가 앤트로픽의 제3자 협력업체(서드파티)를 신원을 악용, '미토스'에 무단 접근한 정황이 발견됐다. 이에 대해 앤트로픽은 "우리의 서드파티 벤더 중 하나를 통해 클로드 미토스 프리뷰(Claude Mythos Preview)에 대한 무단 접속이 이뤄졌다는 언론보도를 조사하고 있다"면서 "우리 서드파티가 모델 개발을 위해 시스템에 접근한 환경 외에는 아직 활동이 포착된 바 없다"고 밝혔다. 관련 언론보도는 경제전문 미디어 블룸버그가 가장 먼저 했다.

앞서 앤트로픽은 이달초 자사 직원 실수로 자사 클로드 소스코드가 외부로 유출되는 대형사고도 겪었다.