과학기술정보통신부, 8일 글로벌 AI 사이버보안 프로젝트 대응 간담회 백브리핑
부총리·민간 전문가, 기존 방식으로는 AI 위험 대응 어렵다는데 공감
미토스 AI 前 버전인 '오퍼스 4.7'로도 홈페이지 인증 우회 취약점 등 7개 약점 발견
정부가 AI 기반 사이버 공격에 대비하기 위해 이르면 이달 말 새로운 정보보호 패러다임을 발표한다.
과학기술정보통신부는 8일 '글로벌 AI 기업의 사이버보안 프로젝트' 관련 대응을 위해 산학연 전문가들과 간담회 개최 후, 회의 내용을 공유하는 브리핑을 열었다.
이 자리에서 최우혁 과기정통부 정보보호네트워크정책실장은 "기업 동의를 받고 앤트로픽의 '클로드 오퍼스(OPUS) 4.7'로 시범 공격을 해본 결과 실제 기업 서비스에서 취약점 7개를 찾아내는 것을 확인했다"면서 "기존 보안 패러다임으로는 AI 위험에 대응이 어렵다는데 부총리와 민간 전문가가 공감했다. 5월말이나 6월초 구체적인 대응책을 발표하겠다"고 밝혔다.
과기정통부는 KISA(한국인터넷진흥원)와 함께 민간기업의 취약점을 공격해봤다. 그 결과 패스워드를 초기화해 새로운 패스워드를 생성하는 방식으로 AI가 홈페이지에 접속하는 '인증 우회 취약점'을 비롯해 7개 취약점을 발견했다.
박용규 KISA 디지털위협대응본부장은 "전문 해커가 수작업하면 해킹까지 수일이 걸릴 것을 AI가 몇 분만에 해내더라"면서 "다만 프롬프팅(명령어)이나 가드레일 같은 걸 넘어가야 해 일반인 누구나 할 수 있는 건 아니다"라고 설명했다.
과기정통부는 앤트로픽의 '글래스윙' 프로젝트, 오픈AI의 GPT-5.5 기반 보안협의체인 TAC(Trusted Access for Cyber: 사이버 보안을 위한 신뢰 기반 접근) 등 글로벌 AI들의 보안 협의체에 적극 참여할 방침도 밝혔다.
최 실장은 "독자 AI 파운데이션 모델(독파모) 기업들과도 이야기를 나눴는데 보안 주권 차원에서 훌륭한 AI 시스템을 활용해봐야 한다는 부분에서 공감대를 이뤘다"며 "다만 글래스윙 참여나 TAC 참여 부분은 아직 협의중이라 확답하기 어렵다"고 했다.
또 앤트로픽의 글래스윙 프로젝트에 참여하게 된다면 한국 정부는 KISA와 AI 안전연구소가 주요 창구가 될 것이라고 밝혔다.
다음주 예정된 마이클 셀리토 앤트로픽 글로벌 정책 총괄과의 회의에는 배경훈 부총리나 류제명 제2차관이 참석하게 될 것으로 보인다. '미토스' 쇼크 이후 과기정통부가 먼저 앤트로픽에 문의를 했고, 일정 수준의 교감이 있어 앤트로픽이 방한하게 된 만큼 글래스윙 프로젝트 가능성도 높게 점쳐진다.
한편 과기정통부는 앞서 전국 3만여개사 CISO(최고보안책임자)와의 간담회를 4차례 했다. 이들은 기업이 IT 자산목록을 제출하면 정부가 이에 맞춰 사이버 보안 경고를 해주는 '조기경보(Early Warning)'와, 위험도에 따라 패치 시안을 제공하는 해외 사례를 예로 들면서 신속한 패치와 중장기적으로는 독자 AI 모델을 보안 특화 AI로 키우는 방안 등을 요구한 것으로 전해졌다.
