[MT리포트 - AI 해커 '미토스' 쇼크] ② '대량 해킹 무기'의 탄생
고성능 AI(인공지능)가 사이버보안의 전제를 흔들고 있다. 사람이 오랜 시간 들여 찾던 취약점을 AI가 훨씬 짧은 시간 안에 찾아내기 시작하면서다. 앤트로픽의 최신모델 '미토스'(Mithos)가 이런 변화를 상징적으로 보여줬다. 인간보안 전문가가 오랜 기간 놓친 취약점을 빠르게 포착하는 것을 넘어 AI에 의한 '대량 해킹' 시대의 도래 가능성을 시사한다.
15일 세계적 화이트해커 출신 윤인수 KAIST(카이스트) 전기및전자공학부 교수는 미토스에 대해 "AI로 인해 보안시스템이 위협받을 것이라고 예상했지만 우리에게 남은 시간이 생각보다 없다는 걸 보여주는 충격적인 사례"라고 했다.
AI는 특정코드 한 줄이 아니라 대규모 코드베이스 전체를 빠르게 훑어 사람이 놓치기 쉬운 논리적 오류와 설계 취약점을 동시에 찾아낸다. '의심되는 지점'을 중심으로 파고드는 기존 방식이 아니라 전체 구조를 전수조사하는 방식이다. 과거 화이트햇해커가 몇 주일 걸려 처리하던 작업을 몇 분 만에 해낸다.
미토스는 취약점 탐지를 넘어 직접 공격까지 수행한다. AI가 자동으로 해킹하는 단계까지 구현한 건 처음으로 알려진 사례다. 윤 교수는 "데이터 세트만으로 AI가 실제 해킹을 수행하도록 훈련하는 건 매우 어려운데 앤트로픽이 이를 달성한 것"이라고 했다.
이는 '대량 해킹무기'의 탄생을 의미한다. 인간해커를 투입할 때 비용 대비 이득이 적어 공격대상이 되지 않던 소규모 웹사이트조차 무차별 공격에 노출될 수 있다는 설명이다. 기술이 빠르게 확산할 경우 특정 기업이나 시스템에 그치지 않고 주요 운영체제와 플랫폼·클라우드 서비스 전반에 잠재된 취약점이 한꺼번에 드러나고 동시다발적으로 공격받을 수 있다. 윤 교수는 "이전에 없던 심각한 수준의 보안위협"이라고 했다.
방어가 공격속도를 따라잡지 못하는 구조적 문제도 있다. 자동화를 통한 무차별 공격과 달리 방어에는 여전히 인간관리자의 최종 검토가 필요해서다. 공격이 반복될수록 공격자는 훨씬 많은 선택지를 갖게 되고 피해규모 역시 급격히 커질 수밖에 없다.
더 큰 변수는 기술의 확산이다. 현재는 일부 기업이 고성능 AI모델을 보유했지만 유사 기술이 빠르게 보편화할 경우 문제는 더 커진다. 보안업계 관계자는 "이제 경쟁상대는 다른 해커가 아니라 AI"라며 "AI를 활용하지 못하는 보안체계는 점점 뒤처질 수밖에 없다"고 말했다.
독자들의 PICK!
보안위협과 대응체계 모두 재편이 불가피해졌다. 박한우 영남대 미디어커뮤니케이션학과·디지털융합비즈니스대학원 교수는 "이제 보안은 더이상 공격(창)을 방어(방패)로 막는 경쟁이 아니라 '신뢰를 어떻게 설계할 것인가'의 문제로 이동할 것"이라며 "사이버 보안에서 우위를 점하는 주체는 공격능력이 뛰어난 쪽이 아니라 보이지 않는 인프라와 규칙을 설계하고 통제하는 프로토콜을 가진 쪽이 될 것"이라고 했다.
