괴물AI '미토스', 패치 쓰나미 부르나...FT "민관 긴밀 공조 필요"

보안 측면에서 '괴물AI'로 평가받고 있는 '미토스(Mythos)'를 시범 사용하고 있는 미국 테크 기업들의 반응이 나왔다. 시스코 사장이자 최고제품책임자 지투 페이털(Jeetu Patel)은 "미토스 이전과 이후 세계가 완전히 다르다”며 미토스의 성능이 놀랍다고 밝혔다.

앞서 '미토스'를 만든 미국 AI스타트업 앤트로픽은 지난 7일(미국시각) 이 제품을 선보이며 보안 측면에서 가공할 위력이 있어 일반 공개를 하지 않는다고 밝혔다. 대신 미국 테크기업(마이크로소프트, 아마존 등)과 금융회사(JP모건), 기관 등 약 40여곳에 시범적으로 우선 제공하며 패치(보안 결점 보완 SW)를 만들라고 한 바 있다.

실제 '미토스'는 사람이 지난 27년간 찾지 못한 취약점을 자율적으로 찾아내는 등 보안면에서 여러 놀라움을 선사했다. 이 취약점은 오픈BSD(OpenBSD)의 TCP(Transmission Control Protocol) 스택 내부에 존재하고 있었는데, 오픈BSD는 세계에서 가장 보안이 강화된 운영체제(OS) 중 하나다. 그동안 수많은 코드 감사와 퍼싱 테스트(취약점을 찾기 위해 자동으로 이상한 입력값을 대량으로 넣어보는 것)를 했지만 찾지 못했다.

이외에도 '미토스'는 모든 주요 웹 브라우저에서 발견된 제로데이 취약점을 발견했고, 파이어폭스(Firefox)에서만 181개의 공격 경로를 뚫었다. 특히 여러 개의 약점을 이어 하나의 거대한 공격 경로(Exploit Chain)를 만들어낸다. 이런 가공할 보안 취약점 때문에 앞으로 '패치 쓰나미'가 올지로 모른다는 우려를 낳고 있다.

25일자 파이낸셜타임즈(FT)에 따르면, 실제 이런 일이 발생할 우려가 높으며, 이에 미토스 접근 권한을 가진 기업들은 "핵심 인프라 방어를 위한 공동 대응을 촉구하고 있다"고 FT는 전했다.

'미토스'로 인해 소프트웨어 업데이트가 급증하며, 이 과정에서 국가 핵심 인프라가 해커들에게 노출될 위험이 커지고 있다는 것이다. 미국 은행 피프스 서드 뱅크(Fifth Third Bank)의 최고재무임원 브라이언 프레스튼(Bryan Preston)은 자사의 기술 제공업체인 마이크로소프트가 미토스 출시 이후 약 150건에 달하는 소프트웨어 업데이트를 배포했다고 밝혔다.

세계적 보안기업 팔로알토네트웍스의 유럽·중동·아프리카 지역(EMEA) 최고보안책임자 하이더 파샤(Haider Pasha)는 미토스가 발견하는 취약점 규모가 '패치 홍수(flood of patches)'를 불러일으킬 수 있다면서 "시스템을 안정적으로 운영해야 하는 기업들에게 큰 부담이 될 수 있다"고 지적했다. 파샤는 특히 미토스 같은 첨단 AI 모델이 여러 취약점을 연쇄적으로 결합해 보안 시스템을 우회할 수 있는 능력을 갖고 있다는 점이 우려된다고 덧붙였는데, 보안 전문가들은 소프트웨어 개발자들이 사용자 부담을 줄이기 위해 업데이트를 선택적으로 배포해야 할 필요가 있다고 제언했다.

앤트로픽은 지난 7일 미토스를 공개하며 인간보다 빠르게 보안 취약점을 탐지할 수 있는 능력을 강조했는데, 팔로알토는 "이 기술이 빠르게 확산할 경우, 보호 장치가 없는 환경에서 해커들이 '지금까지 없던 수준의 자율 공격 에이전트'를 개발할 수 있다"고 경고했다.

특히 미국 보안 전문가들은 '미토스'로 인해 국가 핵심 인프라가 주요 공격 대상이 될 가능성이 크다며 우려했다. 시스코 페이털 사장은 "국가 인프라 시스템은 오래된 소프트웨어를 사용하는 경우가 많고, 공격자 입장에서 가치가 높은 목표이기 때문"이라고 설명했다. 그는 또 “패치를 적용하려면 때로 시스템을 중단해야 하는데, 대부분의 조직은 이를 감당하기 어려워 정해진 시간에만 시스템을 멈추고 업데이트를 진행한다”고 짚었다.