배 부총리, 보안기업 만나 미토스 대응 논의

정부가 '미토스'에 대응, AI기반 사이버공격에 대한 대응책을 마련, 5월말~6월초 발표한다. 또 배경훈 과기정통부 장관 겸 부총리가 보안산업계 기업인들과 간담회를 갖는 자리도 1~2주안에 마련된다.

과기정통부 최우혁 정보보호네트워크실장은 8일 오후 예정에 없던 백브리핑 기자간담회를 열고 이 같이 밝혔다. 앞서 이날 오전 과기정통부는 배경훈 부총리가 참석한 가운데 글로벌 인공지능 기업의 사이버보안 프로젝트 관련 대응방안을 논의하기 위한 간담회를 개최했다. 최 실장 백블핑은 간담회 내용을 설명하기 위해 배 총리 지시로 마련됐다.

오전 간담회는 미토스 같은 고성능 AI 모델에 대한 보안 영향과 대응방안을 논의하기 위해 마련했다. SKT, 업스테이지, 모티프테크놀로지스 등 독자 파운데이션 모델 개발 참여기업과 주요 AI 기업, 한국정보보호학회장을 비롯한 AI 보안 분야 학계 전문가, 한국정보보호산업협회장을 비롯한 주요 정보보호기업 대표, 주요 기업 CISO 등이 참여했다.

특히 간담회에서는 과기정통부가 기업 동의를 받고 앤트로픽의 '클로드 오퍼스(OPUS) 4.7'를 활용해 기업 서비스를 모의 침투한 결과도 공유됐다. 실제 업무를 한 한국인터넷진흥원(KISA) 박용규 침해사고대응단장이 발표했다. 박 단장은 취약점 7개를 찾아낸 과정을 간담회 참석자들에게 시연했다.

'미토스'는 미국 AI전문기업 앤트로픽이 개발해 지난달 7일 공개한 범용AI다. 보안 취약점 탐지와 공격이 이전 AI보다 가공할 정도로 좋아 세계에 보안 경계령을 불러왔다. '미토스'의 해킹 능력에 놀란 미국 정부는 즉각 민간 빅테크들과 대응책을 모색했고, 개발사인 앤트로픽은 '글래스윙' 프로젝트라는 이름으로 52개 자국기업과 기관에 미토스를 제공, 패치 연구를 할 시간을 제공했다.

또 앤트로픽과 경쟁하고 있는 오픈AI도 지난달 23일 새 AI 'GPT 5.5'를 발표했는데, 일부 해킹 테스트에서 미토스보다 나은 성적을 거뒀고, 자사 사이버보안 협력 프로그램인 TAC(Trusted Access for Cyber)에 참여하는 기업 및 기관에 해당 모델 정보를 우선 제공했다. 최근(7일)에는 TAC 참여 문호를 확대하는 계획도 발표했다.

과기정통부도 미토스 대응책에 긴급 나서 지난달 14일 전국 CISO(약 3만여 개사)를 대상으로 지난달 보안대비태세 점검을 요청한 데 이어, 30일에는 ‘AI 기반 사이버공격 대비 기업 대응 요령 및 CEO 행동 수칙’을 추가로 배포했다. 아래는 최 실장과 기자들간 일문일답

최우혁 과기정통부 정보보호네트워크 실장이 8일 서울정부청사에서 백브리핑을 하고 있다.

-예정에 없던 기자간담회를 열게 된 이유는

"간담회때 논의한 내용을 부총리께서 언론에 상세히 밝히는 게 좋겠다고 말씀했다. 내용을 공개 하지 않는 대신 이렇게 백브리핑 자리를 마련하게 됐다. 부 총리께서 회의를 주재한 이유는 CISO나 CEO의 단기 대응적인 방법만 제시하는 게 아니라, AI 발 사이버 공격 가능성이 높아져중장기적이고 체계적인 대응이 필요하기 때문이다."

-간담회서 나온 내용은

"참석자들은 미토스 같은 AI 보안 모델에 대해 사이버 보안 분야에 상당한 변화를 줄 것이라는 견해가 많았다. 과대평가됐다는 지적도 있었다. 하지만 미토스 같은 형태 고성능의 AI 기반 사이버 방어 및 공격 수단일 수 있는 서비스 등장에 따라 대응책을 모색해야 한다는 것에는 모두가 동의했다. 특히 대규모 취약점이 발생할 가능성과 함께 국내 망분리 환경과 과도한 레거시 시스템에 대한 의존도 같은 우려도 제기됐다.

글래스윙 프로젝트를 거론하며 정부 차원 대응책 요구 마련과 구체적으로 영국 사례도 나왔다. 기업 또는 기관이 정부의 IT 자산 목록을 제출할 경우 그 자산에 맞춘 사이버 알람이나 정보를 제공하고 있는 영국의 얼리 워닝(Early Warning) 사례도 언급됐다.

유럽의 경우 취약점을 위험도로 분류하고 고위험의 경우에는 패치 시한을 1~2주 내로 강제하는 제도를 가지고 있다는 의견도 있었는데, 이런 것은 확인이 필요하다. 이밖에 패치 담당자 책임완화와 화이트해커의 모의 침투 허용도 거론됐다. 이는 이미 제도적으로 도입하겠다고 발표한 바 있다. 전문인력 양성과 AI보안 모델을 통한 신속한 자동화, AI보안 주권 이야기도 나왔다. 이런 전문가들의 의견에 앞으로 온오프라인 토론을 더해 AI에 따른 정보보호 패러다임 변화를 잘 설계, 5월 말이나 6월 초 언론에 공개하겠다."

-글래스윙 프로젝트에 참여하지 못할때를 대비한 프로젝트B가 있나. 독파모의 보안 특화 모델로 충분한가

"회의에 독파모 기업들도 참여했다. 독파모를 가지고, 보안 주권 차원에서 우리도 독파모에서 나오는 훌륭한 AI 시스템을 활용하는 방안을 잘 생각을 해봐야 한다는 논의에 대한 공감대가 있었다. 다만, 그 시기는 지금 제시하기 어렵다. 글래스윙 참여는 앤프로픽과 계속 협의하고 있다."

-보안 특화 모델에 대한 구체적인 얘기들이 있었나

"우리나라처럼 '독파모(독립파운데이션모델)'를 추진하는 국가들이 없다. 독파모를 잘 활용, 검토가 필요하다는 거지, 확정적으로, 단정적으로 무조건 합시다는 아니다. 필요성에 공감하고 있고, 의견 수렴을 한다는 것이다."

-클로드 오퍼스 4.7로 시행한 해킹 시연에서 발견된 구체적 취약점을 말해준다면. 미토스가 27년된 버그를 찾아냈다는 것 처럼...

"어떤 솔루션에 대한 취약점을 찾은 것이 아니라, 기업이 운영하고 있는 실제 서비스에 대한 취약점을 찾아 침투하는 과정을 시연했다. 예를 들어 홈페이지가 갖고 있는 인증 우회 취약점이 대표적인 취약점이다. 이런 취약점을 찾고 이를 통해서 계정을 확보하고, 그 계정을 통해 그 사이트에 접속한, 그 일련의 과정을 AI를 통해 한번 시행해봤다. 더 쉽게 말하면, 패스워드를 몰라도 AI가 새 패스워드를 만들어 취약점을 찾은 거다."

-류제명 차관이 11일 앤트로픽을 만나는데, 이번 만남에서 글래스윙 프로젝트 참여가 확정되나? 또 안건은?

"11일 그런 회의가 있다는 것 까지만 말할 수 있을 것 같다. 구체적인 내용은 여기서 말하기 어렵다. 우리가 아니라 AI실이 담당하고 있다."

-글래스윙 프로제트 참여는 아무 기업이나 들어가는게 아닌데, 우리측 에서 누가 담당하고 있나

"글래스윙 창여 기업 및 기관은 52개다. 우리가 (명단) 요구를 요구를 했는데, 비공개 사항이라고 하더라...우리는 정부 차원에서 대응을 하고 있고, AI 안전연구소와 KISA가 접촉중이다."

-과기부만의 단일 대응으로는 어려울 거라는 얘기가 있는데....국정원과 안보실과도 협업을 계획하고 있나

"민간군 체계에서 안보실을 중심으로 대응하고 있다. 범정부적으로 대응을 하고 있다고 봐주시면 된다."

-패스워드를 통한 취약점 말고 다른 취약점은?

" 7가지 취약점을 발견했다. AI 해커에 가까운 전문가가 하는 부분, 또 일반 직원이 하는 테스트로도 돌려봤다. 전문 해커가 수작업으로 했다면 며칠 걸릴 일을 AI는 10여 분 만에 찾아냈다. 일반 직원의 경우 프롬프팅도 어렵지만 가드레일을 넘는 것도 쉽지 않았다. 정당한 직원이냐고 계속 물어본다. 우리가 확인한 건, 일반인은 아니고 전문가 보다는 확실히 AI가 더 빠르다는 것이다. 국회서도 미토스에 대해 물었는데, 미토스는 나중에 공개되면 해 볼 계획이다."

-글래스윙 프로젝트 참여 52곳 명단 확보했나? 오픈AI TAC에 참여하는 한국 기업이나 기관 명단 확보하고 있나? 정확히 몇 곳인가?

"확보 못했다. 비공개라고 하더라. TAC에 참여하는 곳은 몇 곳 있다. 기업이나 기관에 공개해도 되는 지 확인해보고 말하겠다."

-중장기적으로는 독파모로 특화 모델 만든다고 했는데, 특화 모델 개발에 앞서 다른 AI 보안 솔루션 같은 걸 우선 활용할 계획이 있나

"아까 말했듯이, 중장기적인 대응 방향도 그렇고, 단기적인 대응 방향에 대해 5월말이나 6월초에 저희가 방향을 공개하는 자리를 마련할 예정이다"