“미토스 쇼크”에 대응…정부, AI 보안주권·제로트러스트·양자보안 로드맵 점검

글로벌 인공지능(AI) 모델이 사이버공격에 악용될 수 있다는 우려가 커지는 가운데, 정부가 ‘미토스 쇼크’로 불리는 보안 위협 논란에 대한 대응 체계를 점검하고 나섰다. 과학기술정보통신부는 8일 산학연 전문가 간담회를 열고, 고성능 AI 기반 공격·취약점 탐지 위협의 현실성을 재확인하며 이달 말(또는 내달 초) 중장기 대응 방안을 공개하는 방안을 추진하겠다고 밝혔다.

“10분 만에 취약점 7건”…AI 공격 성능 우려 커져

이번 논의의 핵심은 AI 에이전트 모델이 사이버 보안 영역에서 ‘공격 자동화’에 가까운 수준의 성능을 보일 수 있다는 점이다. 연합뉴스 보도에 따르면, 앤트로픽 주도의 ‘미토스’와 오픈AI의 ‘GPT 5.5’ 등으로 거론되는 고도화된 AI 모델이 취약점 탐지 역량을 갖추고 있어, 자율형 AI를 이용한 공격 가능성이 확대될 수 있다는 경고가 나온다.

정부는 단순한 우려가 아니라 실제 점검 결과를 언급했다. 과기정통부는 AI 보안 점검 차원에서 국내 기업 1곳과 협의해 앤트로픽의 ‘클로드 오푸스 4.7’ 모델을 활용한 시나리오 공격을 실시했고, 그 과정에서 10여분 만에 7건의 취약점이 발견됐다고 밝혔다. 당국은 인간 해커가 같은 작업을 하는 데 수일이 걸릴 정도의 규모를 AI가 짧은 시간에 수행했다는 점을 강조하며, 위협 강도가 빠르게 높아질 수 있음을 시사했다.

정부는 ‘AI 보안주권’과 민관 협업을 전면에

전문가 간담회에는 SK텔레콤, 업스테이지, 모티프테크놀로지스 등 국내 파운데이션 모델 개발 기업과 주요 AI 기업, 한국정보보호학회 등 보안 분야 전문가들이 참여했다. 논의 과정에서는 AI 보안 모델의 파급력에 대한 기대와 함께, 일부 평가가 과도할 수 있다는 신중론도 제기된 것으로 전해졌다.

그럼에도 정부와 참석자들이 공감한 지점은 “장단기 대응을 위한 민관 공동의 준비가 필요하다”는 것이다. 과기정통부는 글로벌 AI 보안 협력체인 ‘프로젝트 글래스윙’ 참여를 확대해 정보 비대칭을 줄이려는 구상도 밝혔다. 동시에 국내 기업과 전문가의 역량을 기반으로 하는 ‘AI 보안주권’ 확보가 중요하다는 의견이 나왔다.

정부는 또 지난달 14일 전국 3만여개 기업의 CISO(최고정보보호책임자)를 대상으로 보안 대비 태세 점검을 요청하고, 4월 30일에는 기업 대응 요령 및 CEO 행동 수칙도 배포한 바 있다. 업계가 위협 변화에 맞춰 내부 통제와 대응 절차를 정비할 시간을 확보하기 위한 조치로 해석된다.

행동강령·공격 시나리오 점검에서 중장기 로드맵으로

정부는 단기적으로 기존 범용 AI 모델을 활용해 대응 역량을 높이는 한편, 중장기적으로는 사이버 보안에 특화된 독자 AI 모델 필요성에 무게를 두고 있다. 과기정통부는 이달 말 또는 내달 초 관련 중장기 대응 방안을 공개할 예정이라고 밝혔다.

또한 ‘글래스윙’ 참여가 지연되거나 무산될 가능성에 대비한 플랜B도 거론됐다. 다만 구체적 플랜B의 세부 내용은 공개되지 않았으며, 우선 CISO들에게 행동 강령을 배포해 준비도를 높인 상태라고 전해졌다.

“제로트러스트 전환, 양자보안까지 원천 방어”

배경훈 과기정통부 장관은 이번 이슈를 계기로 사회 전반의 정보보호 패러다임이 AI 기반 보안 체계로 전환되는 흐름을 더 이상 늦추기 어렵다고 강조했다. 이어 국내 AI 보안 특화 모델 개발을 추진하는 한편, 제로 트러스트(Zero Trust) 철학을 확산하고 양자보안 등 원천적 방어체계를 조속히 마련하겠다는 계획을 제시했다.

제로 트러스트는 ‘한 번 내부에 들어오면 신뢰한다’는 접근에서 벗어나, 사용자와 기기, 요청 단위로 지속적으로 인증·검증하는 보안 모델로 알려져 있다. AI가 공격 표면을 넓히는 환경에서, 접근 통제의 정교화는 피해 규모를 줄이는 데 중요한 전제가 될 수 있다.

무엇을 지켜봐야 하나

앞으로 관심 지점은 정부가 예고한 중장기 대응 방안의 구체화다. 과기정통부가 이달 말(또는 내달 초) 공개할 계획인 로드맵에는 ▲AI 보안 특화 모델 개발 ▲민관 협력 체계 ▲기업의 실질적 준비도 평가 방식 ▲공격 시나리오 기반 점검의 정례화 여부 등이 포함될 가능성이 크다.

또 ‘미토스 쇼크’ 이후 실제 현장에서 어떤 수준까지 AI 기반 공격이 확산되는지도 주목된다. 정부가 제시한 수치(10분 만에 취약점 7건)는 위협의 ‘속도’가 빨라지고 있음을 보여주는 대목인 만큼, 기업들이 단순한 기술 도입을 넘어 정책·인력·훈련 체계를 동시에 강화하는지 여부가 향후 성패를 가를 전망이다.